因此,我正在对 Windows 内存映像进行一些内存分析,并且正在查看进程产生的线程。
我使用的工具是波动性。
所以我正在检查资源管理器进程产生的线程。我的问题是,线程是否总是必须有 1)拥有的进程和 2)附加的进程。
我发现了一个拥有进程的资源管理器线程:Explorer.exe,但附加进程没有名称。没有名字的进程在内存中有一个关联的地址。
这是正常的线程有一个没有名称的附加进程吗?还有什么是自有进程和附加进程之间的区别?
感谢您的关注。
1 回答
1
AttachedProcess 搜索查找“当前在进程上下文中执行的线程,而不是拥有线程的进程”(来自https://code.google.com/p/volatility/wiki/CommandReference)。
本文将为您解释这一点:http: //mnin.blogspot.com/2011/04/investigating-windows-threads-with.html
有一整节内容是关于附加进程及其在内存分析中的影响。
于 2011-12-12T23:58:22.417 回答