1

そのため、Windows メモリ イメージでメモリ分析を行っており、プロセスによって生成されたスレッドを見ています。

私が使用しているツールはボラティリティです。

そこで、エクスプローラー プロセスによって生成されたスレッドをチェックしていました。私の質問は、スレッドには常に 1) 所有プロセスと 2) 添付プロセスが必要ですか。

所有プロセス Explorer.exe を持つエクスプローラー スレッドをキャッチしましたが、アタッチされたプロセスには名前がありません。名前のないプロセスには、メモリ内に関連付けられたアドレスがあります。

スレッドに名前のないプロセスが接続されているのは正常ですか? また、所有されたプロセスと添付されたプロセスの違いは何ですか?

ご覧いただきありがとうございます。

4

1 に答える 1

1

AttachedProcess 検索では、「スレッドを所有するプロセス以外のプロセスのコンテキストで現在実行されているスレッド」が見つかります ( https://code.google.com/p/volatility/wiki/CommandReferenceから)。

この記事では、これについて説明します: http://mnin.blogspot.com/2011/04/investigating-windows-threads-with.html

接続されたプロセスとメモリ分析におけるそれらの影響に関するセクション全体があります。

于 2011-12-12T23:58:22.417 に答える