Question

Итак, я делаю некоторый анализ памяти для образа памяти Windows и смотрю на потоки, порожденные процессами.

инструмент, который я использую - это волатильность.

Итак, я проверял потоки, созданные процессом проводника. Мой вопрос: всегда ли у потока должен быть 1) собственный процесс и 2) присоединенный процесс.

Я обнаружил поток обозревателя, у которого есть собственный процесс: Explorer.exe. но у прикрепленного процесса нет имени. Процесс без имени имеет связанный адрес в памяти.

Нормально ли для потока иметь прикрепленный процесс без имени? Кроме того, в чем тонкая разница между собственным процессом и присоединенным процессом?

Спасибо за внимание.

Dan · Answer 1 · 13 декабря 2011

Поиск AttachedProcess находит «потоки, которые в данный момент выполняются в контексте процесса, отличного от процесса, которому принадлежит поток» (из https://code.google.com/p/volatility/wiki/CommandReference).

Эта статья объяснит вам это:http://mnin.blogspot.com/2011/04/investigating-windows-threads-with.html

Существует целый раздел о прикрепленных процессах и их значении для анализа памяти.

нарушения в потоках Windows, прикрепленном процессе и собственном процессе

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

нарушения в потоках Windows, прикрепленном процессе и собственном процессе

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы