所以我正在对Windows内存映像进行一些内存分析,我正在查看由进程生成的线程。
我使用的工具是波动性。
所以我正在检查由资源管理器进程生成的线程。 我的问题是,一个线程是否必须拥有1)拥有的进程和2)附加的进程。
我发现了一个拥有自己进程的资源管理器线程:Explorer.exe 但附加过程没有名称。 没有名称的进程在内存中有一个关联的地址。
线程是否正常连接进程没有名称? 另外,自有流程和附加流程之间的细微差别是什么?
谢谢你的期待。
答案 0 :(得分:1)
AttachedProcess搜索找到“当前在除拥有该线程的进程之外的进程的上下文中执行的线程”(来自https://code.google.com/p/volatility/wiki/CommandReference)。
本文将为您解释:http://mnin.blogspot.com/2011/04/investigating-windows-threads-with.html
关于附加过程的整个部分及其在记忆分析中的含义。