Windows線程異常，附加進程和擁有進程

Question

因此，我正在對Windows內存映像進行一些內存分析，並且正在查看進程產生的線程。

我正在使用的工具是波動性。

所以我正在檢查一個資源管理器進程產生的線程。 我的問題是，一個線程總是必須有1）擁有進程和2）附加進程。

我發現了一個擁有一個擁有進程的資源管理器線程：Explorer.exe 但附加進程沒有名稱。 沒有名字的進程在內存中有一個關聯的地址。

這對一個線程來說沒有名字的附加進程是正常的嗎？ 另外，擁有的過程和附加過程之間的細微差別是什麼？

感謝您的期待。

Answer 1

AttachedProcess搜索找到「當前在除擁有線程的進程以外的進程的上下文中執行的線程」（來自https://code.google.com/p/volatility/wiki/CommandReference）。

本文將解釋這個給你：http://mnin.blogspot.com/2011/04/investigating-windows-threads-with.html

有在連接過程和它們在內存中分析影響一整節。