Donc, je fais une analyse de la mémoire sur une image de la mémoire Windows et je regarde les threads engendrés par les processus.Anomalies dans les threads Windows, processus attaché et processus propriétaire
L'outil que j'utilise est la volatilité. Donc, je vérifiais les threads engendrés par un processus d'exploration. Ma question est, est-ce qu'un thread doit toujours avoir 1) processus propriétaire et 2) processus attaché.
J'ai intercepté un thread d'explorateur possédant un processus propriétaire: Explorer.exe mais le processus joint n'a pas de nom. Le processus sans nom a une adresse associée en mémoire.
Est-ce normal qu'un thread soit associé à un processus sans nom? Aussi, quelle est la différence subtile entre un processus propriétaire et un processus joint?
Merci de votre visite. Une recherche AttachedProcess trouve "threads qui sont en cours d'exécution dans le contexte d'un processus autre que le processus qui possède le thread" (à partir de https://code.google.com/p/volatility/wiki/CommandReference)