はじめに
この記事は、実機にメモリダンプを行い、中身がどうなっているのかを勉強する目的で投稿しています。投稿者は初心者であるため、誤解していることがあればコメントをお願いします。メモリダンプについてはFTK Imager、解析にはVolatility3を使用しています。
再度言いますが、初心者です。どうか温かい目で見守ってください。
前回のあらすじ
FTK Imagerを使い、メモリダンプを取得し、Volatility3でメモリのメタ情報を読み取った!
プロセスについて
今回はプロセスについてまとめていこうと思います。
まず、メモリの内部にはプロセスというものがあります。
プロセスは簡単に言うと、実行中のプログラムのことで、このプロセスがメモリの中にたくさん入っています。(プロセス自体が丸々入っているわけではない)
身近な例では、ブラウザのedgeもメモリ内部でプロセスとして動いています。
※CPUがメモリ以外の場所からデータにアクセスすることは基本ありません。
プロセスの種類
プロセスにもいくつか種類があります。3つに分類して紹介します。
- ユーザプロセス:先ほど紹介したedgeなど、ユーザが自ら実行したプロセスを指します。(スタートアップを含む)
- サービスプロセス:ユーザの意思に関わらず、裏で動いているプロセスのことを指します。例で言うとWindows Defenderなどがあげられます。
- システムプロセス:PCが正常に動くために必要なプロセスを指します。ユーザ自ら実行することは基本ありません。
※正式な区別はされてなく、あくまでもメモリを理解する上でのパラメータの一部です。
プロセスのメタ情報を見てみよう
Volatility3にはwindows.pslist.PsListと指定することで、OSが把握しているプロセスのメタ情報を一覧表示することができます。メ
$ vol3 -f memdump.mem windows.pslist.PsList
Volatility 3 Framework 2.28.0
Progress: 100.00 PDB scanning finished
PID PPID ImageFileName Offset(V) Threads Handles SessionId Wow64 CreateTime ExitTime File output
4 0 System 0xcf0f4c4bf040 415 - N/A False 2026-03-26 00:02:27.000000 UTC N/A Disabled
236 4 Secure System 0xcf0f4c6e3040 0 - N/A False 2026-03-26 00:02:17.000000 UTC N/A Disabled
276 4 Registry 0xcf0f4c7d0040 4 - N/A False 2026-03-26 00:02:17.000000 UTC N/A Disabled
808 4 smss.exe 0xcf0f55dce040 2 - N/A False 2026-03-26 00:02:27.000000 UTC N/A Disabled
1132 1068 csrss.exe 0xcf0f57b71140 15 - 0 False 2026-03-26 00:04:03.000000 UTC N/A Disabled
1220 1068 wininit.exe 0xcf0f5d6e1080 2 - 0 False 2026-03-26 00:04:04.000000 UTC N/A Disabled
1228 1212 csrss.exe 0xcf0f5d5c6140 0 - 1 False 2026-03-26 00:04:04.000000 UTC 2026-03-26 15:58:29.000000 UTC Disabled
1308 1220 services.exe 0xcf0f5d291080 6 - 0 False 2026-03-26 00:04:04.000000 UTC N/A Disabled
1360 1220 LsaIso.exe 0xcf0f5d295080 1 - 0 False 2026-03-26 00:04:04.000000 UTC N/A Disabled
1380 1220 lsass.exe 0xcf0f5d29c080 11 - 0 False 2026-03-26 00:04:04.000000 UTC N/A Disabled
1544 1308 svchost.exe 0xcf0f5d2af080 21 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1576 1220 fontdrvhost.ex 0xcf0f5d25e080 5 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1652 1308 WUDFHost.exe 0xcf0f5d84d0c0 8 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1716 1308 svchost.exe 0xcf0f5d6cd180 16 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1756 1308 svchost.exe 0xcf0f5d94e080 5 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1852 1336 dwm.exe 0xcf0f5d9ea0c0 0 - 1 False 2026-03-26 00:04:05.000000 UTC 2026-03-26 15:58:28.000000 UTC Disabled
1940 1308 svchost.exe 0xcf0f5da56080 1 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1956 1308 svchost.exe 0xcf0f5da52080 4 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1700 1308 svchost.exe 0xcf0f5daec0c0 3 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
1808 1308 svchost.exe 0xcf0f5daf2080 3 - 0 False 2026-03-26 00:04:05.000000 UTC N/A Disabled
(中略)
4948 1308 sesinetd.exe 0xcf0f5eb29080 9 - 0 False 2026-03-26 00:04:06.000000 UTC N/A Disabled
5036 1308 nvcontainer.ex 0xcf0f5ec2e080 29 - 0 False 2026-03-26 00:04:06.000000 UTC N/A Disabled
5044 1308 svchost.exe 0xcf0f5ec5b080 3 - 0 False 2026-03-26 00:04:06.000000 UTC N/A Disabled
3140 2068 taskhostw.exe 0xcf0f61c760c0 0 - 0 False 2026-03-26 00:11:15.000000 UTC 2026-03-26 00:11:24.000000 UTC Disabled
16612 1308 MpDefenderCore 0xcf0f62d47080 7 - 0 False 2026-03-26 00:14:32.000000 UTC N/A Disabled
16728 1308 MsMpEng.exe 0xcf0f655940c0 71 - 0 False 2026-03-26 00:14:32.000000 UTC N/A Disabled
16524 1308 NisSrv.exe 0xcf0f6335a080 14 - 0 False 2026-03-26 00:14:38.000000 UTC N/A Disabled
5744 1308 MidiSrv.exe 0xcf0f602be080 2 - 0 False 2026-03-26 00:30:10.000000 UTC N/A Disabled
15944 11300 msedgewebview2 0xcf0f6a49f080 0 - 1 False 2026-03-26 04:21:12.000000 UTC 2026-03-26 15:58:26.000000 UTC Disabled
17716 11300 msedgewebview2 0xcf0f6a49c080 0 - 1 False 2026-03-26 04:21:12.000000 UTC 2026-03-26 15:58:26.000000 UTC Disabled
14240 11300 msedgewebview2 0xcf0f6dc7f080 0 - 1 False 2026-03-26 04:21:12.000000 UTC 2026-03-26 15:58:26.000000 UTC Disabled
18248 11300 msedgewebview2 0xcf0f6e383080 0 - 1 False 2026-03-26 04:21:12.000000 UTC 2026-03-26 15:58:26.000000 UTC Disabled
13924 11300 msedgewebview2 0xcf0f6e3cd080 0 - 1 False 2026-03-26 04:21:12.000000 UTC 2026-03-26 15:58:26.000000 UTC Disabled
16736 1308 vmcompute.exe 0xcf0f6856a080 4 - 0 False 2026-03-26 05:18:14.000000 UTC N/A Disabled
8156 16736 vmwp.exe 0xcf0f64a07080 0 - 0 False 2026-03-26 05:18:14.000000 UTC 2026-03-26 05:19:32.000000 UTC Disabled
17920 5036 rundll32.exe 0xcf0f74203080 0 - 2 False 2026-03-27 00:02:43.000000 UTC 2026-03-27 00:02:43.000000 UTC Disabled
16932 1308 svchost.exe 0xcf0f6cf3f080 2 - 0 False 2026-03-27 00:08:49.000000 UTC N/A Disabled
17868 24132 Discord.exe 0xcf0f7712c080 0 - 2 False 2026-03-27 02:17:08.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
5268 5860 msedgewebview2 0xcf0f6840b080 0 - 2 False 2026-03-27 04:57:14.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
8252 5860 msedgewebview2 0xcf0f74758080 0 - 2 False 2026-03-27 04:57:14.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
19232 5860 msedgewebview2 0xcf0f70c4e080 0 - 2 False 2026-03-27 04:57:14.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
23088 5860 msedgewebview2 0xcf0f69b3b080 0 - 2 False 2026-03-27 04:57:14.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
14936 5860 msedgewebview2 0xcf0f7547e080 0 - 2 False 2026-03-27 04:57:14.000000 UTC 2026-03-27 07:21:59.000000 UTC Disabled
23584 1308 svchost.exe 0xcf0f6bff2080 5 - 0 False 2026-03-27 06:24:47.000000 UTC N/A Disabled
1252 5036 rundll32.exe 0xcf0f762230c0 0 - 3 False 2026-03-27 08:00:31.000000 UTC 2026-03-27 08:00:32.000000 UTC Disabled
23188 1308 svchost.exe 0xcf0f76b38080 5 - 0 False 2026-03-27 09:17:50.000000 UTC N/A Disabled
15792 14720 msedgewebview2 0xcf0f688c50c0 0 - 3 False 2026-03-27 09:23:03.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
22868 14720 msedgewebview2 0xcf0f77c98080 0 - 3 False 2026-03-27 09:23:03.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
23984 14720 msedgewebview2 0xcf0f6d93e080 0 - 3 False 2026-03-27 09:23:03.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
23540 14720 msedgewebview2 0xcf0f6b225080 0 - 3 False 2026-03-27 09:23:03.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
12068 14720 msedgewebview2 0xcf0f613a2080 0 - 3 False 2026-03-27 09:23:03.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
8840 12708 Discord.exe 0xcf0f7ea56080 0 - 3 False 2026-03-27 09:46:42.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
2840 14612 CurseForge.exe 0xcf0f853ec080 0 - 3 False 2026-03-27 16:13:18.000000 UTC 2026-03-27 16:15:33.000000 UTC Disabled
1140 5036 rundll32.exe 0xcf0f6f1b5080 0 - 4 False 2026-03-28 08:46:50.000000 UTC 2026-03-28 08:46:51.000000 UTC Disabled
22984 15520 Discord.exe 0xcf0f7be23080 0 - 4 False 2026-03-28 08:47:09.000000 UTC 2026-03-28 15:26:07.000000 UTC Disabled
18060 1544 WmiPrvSE.exe 0xcf0f6fc6e080 9 - 0 False 2026-03-28 09:05:56.000000 UTC N/A Disabled
11128 3552 audiodg.exe 0xcf0f66648080 7 - 0 False 2026-03-29 00:35:45.000000 UTC N/A Disabled
16376 5036 rundll32.exe 0xcf0f70b4b180 0 - 5 False 2026-03-29 00:35:46.000000 UTC 2026-03-29 00:35:46.000000 UTC Disabled
26284 1308 svchost.exe 0xcf0f867c6080 3 - 0 False 2026-03-29 00:35:46.000000 UTC N/A Disabled
11696 18700 Riot Client.ex 0xcf0f7d5e70c0 0 - 5 False 2026-03-29 02:56:10.000000 UTC 2026-03-29 02:56:19.000000 UTC Disabled
2276 21564 Riot Client.ex 0xcf0f7e231080 0 - 5 False 2026-03-29 03:01:10.000000 UTC 2026-03-29 03:03:54.000000 UTC Disabled
26224 4136 csrss.exe 0xcf0f7fec8080 16 - 6 False 2026-03-29 07:58:46.000000 UTC N/A Disabled
19484 4136 winlogon.exe 0xcf0f78df3080 4 - 6 False 2026-03-29 07:58:46.000000 UTC N/A Disabled
6892 19484 dwm.exe 0xcf0f6130d080 68 - 6 False 2026-03-29 07:58:47.000000 UTC N/A Disabled
6856 19484 fontdrvhost.ex 0xcf0f62d6e080 5 - 6 False 2026-03-29 07:58:47.000000 UTC N/A Disabled
10856 5036 nvcontainer.ex 0xcf0f85edf080 21 - 6 False 2026-03-29 07:58:52.000000 UTC N/A Disabled
26532 3144 NVDisplay.Cont 0xcf0f6b2fb080 32 - 6 False 2026-03-29 07:58:52.000000 UTC N/A Disabled
21108 4900 GameInputRedis 0xcf0f61384080 2 - 6 False 2026-03-29 11:15:10.000000 UTC N/A Disabled
14380 5012 VSHelper.exe 0xcf0f750430c0 2 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
21556 2332 sihost.exe 0xcf0f860c50c0 13 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
1420 1308 svchost.exe 0xcf0f7d8b70c0 14 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
18880 1308 svchost.exe 0xcf0f78ce70c0 3 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
2192 1308 svchost.exe 0xcf0f7f4130c0 4 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
19372 2068 taskhostw.exe 0xcf0f781560c0 8 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
15508 5036 rundll32.exe 0xcf0f64ba60c0 0 - 6 False 2026-03-29 11:15:11.000000 UTC 2026-03-29 11:15:11.000000 UTC Disabled
8952 19484 userinit.exe 0xcf0f813eb080 0 - 6 False 2026-03-29 11:15:11.000000 UTC 2026-03-29 11:15:35.000000 UTC Disabled
16976 8952 explorer.exe 0xcf0f7e0260c0 149 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
13916 21556 ShellHost.exe 0xcf0f7fac5080 17 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
21068 21556 CrossDeviceRes 0xcf0f7ebae080 16 - 6 False 2026-03-29 11:15:11.000000 UTC N/A Disabled
18632 1544 CrossDeviceSer 0xcf0f7a1d2080 16 - 6 False 2026-03-29 11:15:12.000000 UTC N/A Disabled
26600 2068 taskhostw.exe 0xcf0f75869080 8 - 6 False 2026-03-29 11:15:12.000000 UTC N/A Disabled
14768 1544 RuntimeBroker. 0xcf0f6c6df0c0 2 - 6 False 2026-03-29 11:15:13.000000 UTC N/A Disabled
18396 1308 svchost.exe 0xcf0f764ab080 5 - 6 False 2026-03-29 11:15:13.000000 UTC N/A Disabled
7500 1544 SearchHost.exe 0xcf0f6137e080 25 - 6 False 2026-03-29 11:15:14.000000 UTC N/A Disabled
3884 1544 StartMenuExper 0xcf0f6321f080 29 - 6 False 2026-03-29 11:15:14.000000 UTC N/A Disabled
5544 1544 Widgets.exe 0xcf0f8a1ed080 2 - 6 False 2026-03-29 11:15:14.000000 UTC N/A Disabled
24856 1308 svchost.exe 0xcf0f7e82e080 3 - 6 False 2026-03-29 11:15:14.000000 UTC N/A Disabled
11384 1544 RuntimeBroker. 0xcf0f704870c0 15 - 6 False 2026-03-29 11:15:14.000000 UTC N/A Disabled
1428 7500 msedgewebview2 0xcf0f7aee3080 49 - 6 False 2026-03-29 11:15:15.000000 UTC N/A Disabled
2400 1428 msedgewebview2 0xcf0f7a4d7080 7 - 6 False 2026-03-29 11:15:16.000000 UTC N/A Disabled
14388 1428 msedgewebview2 0xcf0f7a52f080 50 - 6 False 2026-03-29 11:15:17.000000 UTC N/A Disabled
24432 1428 msedgewebview2 0xcf0f860ca080 19 - 6 False 2026-03-29 11:15:17.000000 UTC N/A Disabled
22968 1428 msedgewebview2 0xcf0f7a5f4080 10 - 6 False 2026-03-29 11:15:17.000000 UTC N/A Disabled
17640 1428 msedgewebview2 0xcf0f8a9d50c0 30 - 6 False 2026-03-29 11:15:17.000000 UTC N/A Disabled
23204 3604 ctfmon.exe 0xcf0f86cc50c0 21 - 6 False 2026-03-29 11:15:18.000000 UTC N/A Disabled
17240 1544 TextInputHost. 0xcf0f7dcdc080 64 - 6 False 2026-03-29 11:15:20.000000 UTC N/A Disabled
5676 24964 Discord.exe 0xcf0f780e5080 54 - 6 False 2026-03-29 11:15:21.000000 UTC N/A Disabled
6632 5676 Discord.exe 0xcf0f7fad6080 7 - 6 False 2026-03-29 11:15:22.000000 UTC N/A Disabled
5260 5676 Discord.exe 0xcf0f631a4080 49 - 6 False 2026-03-29 11:15:22.000000 UTC N/A Disabled
23628 16976 SecurityHealth 0xcf0f607e9080 1 - 6 False 2026-03-29 11:15:27.000000 UTC N/A Disabled
16148 17412 Service.exe 0xcf0f7e076080 228 - 6 False 2026-03-29 11:15:29.000000 UTC N/A Disabled
14020 16148 crashpad_handl 0xcf0f626b7080 6 - 6 False 2026-03-29 11:15:31.000000 UTC N/A Disabled
25420 20552 CurseForge.exe 0xcf0f886cc080 24 - 6 False 2026-03-29 11:15:31.000000 UTC N/A Disabled
15604 20552 CurseForge.exe 0xcf0f7ec45080 26 - 6 False 2026-03-29 11:15:32.000000 UTC N/A Disabled
13272 20552 Curse.Agent.Ho 0xcf0f7a80b080 16 - 6 False 2026-03-29 11:15:35.000000 UTC N/A Disabled
21088 20552 CurseForge.exe 0xcf0f7e2a7080 20 - 6 False 2026-03-29 11:15:35.000000 UTC N/A Disabled
13524 13272 conhost.exe 0xcf0f69e54080 2 - 6 False 2026-03-29 11:15:35.000000 UTC N/A Disabled
13832 16976 msedge.exe 0xcf0f6c45a080 62 - 6 False 2026-03-29 11:15:43.000000 UTC N/A Disabled
22552 13832 msedge.exe 0xcf0f6cf66080 9 - 6 False 2026-03-29 11:15:43.000000 UTC N/A Disabled
17468 16148 bstrace.exe 0xcf0f82ec50c0 0 - 6 False 2026-03-29 11:16:21.000000 UTC 2026-03-29 11:16:21.000000 UTC Disabled
23812 16148 crosvm.exe 0xcf0f778e1080 11 - 6 False 2026-03-29 11:16:21.000000 UTC N/A Disabled
18032 23812 conhost.exe 0xcf0f848ed080 2 - 6 False 2026-03-29 11:16:21.000000 UTC N/A Disabled
17340 23812 crosvm.exe 0xcf0f7ea90080 11 - 6 False 2026-03-29 11:16:23.000000 UTC N/A Disabled
20756 23812 crosvm.exe 0xcf0f7e41b080 146 - 6 False 2026-03-29 11:16:23.000000 UTC N/A Disabled
24292 13832 msedge.exe 0xcf0f74adb080 14 - 6 False 2026-03-29 11:16:30.000000 UTC N/A Disabled
15776 13832 msedge.exe 0xcf0f6665f080 10 - 6 False 2026-03-29 11:16:30.000000 UTC N/A Disabled
17692 1308 svchost.exe 0xcf0f62775080 5 - 6 False 2026-03-29 11:16:33.000000 UTC N/A Disabled
13228 13832 msedge.exe 0xcf0f7e639240 10 - 6 False 2026-03-29 11:16:44.000000 UTC N/A Disabled
11304 1544 RuntimeBroker. 0xcf0f669a80c0 7 - 6 False 2026-03-29 11:16:44.000000 UTC N/A Disabled
14516 1308 svchost.exe 0xcf0f63663080 7 - 6 False 2026-03-29 11:17:11.000000 UTC N/A Disabled
19696 1308 OfficeClickToR 0xcf0f7ed130c0 17 - 0 False 2026-03-29 11:24:32.000000 UTC N/A Disabled
5816 19696 AppVShNotify.e 0xcf0f85ed9080 1 - 6 False 2026-03-29 11:24:53.000000 UTC N/A Disabled
21732 15068 msiexec.exe 0xcf0f882ec080 0 - 0 False 2026-03-29 11:25:18.000000 UTC 2026-03-29 11:25:30.000000 UTC Disabled
13392 15068 msiexec.exe 0xcf0f7a54b080 0 - 0 False 2026-03-29 11:25:34.000000 UTC 2026-03-29 11:25:35.000000 UTC Disabled
19336 1308 SearchIndexer. 0xcf0f6ca68080 15 - 0 False 2026-03-29 11:25:35.000000 UTC N/A Disabled
21024 15068 msiexec.exe 0xcf0f82e240c0 0 - 0 False 2026-03-29 11:25:35.000000 UTC 2026-03-29 11:25:36.000000 UTC Disabled
19932 15068 msiexec.exe 0xcf0f6d7c0080 0 - 0 True 2026-03-29 11:25:36.000000 UTC 2026-03-29 11:25:36.000000 UTC Disabled
11732 1308 WUDFHost.exe 0xcf0f7b08e080 7 - 0 False 2026-03-29 11:59:13.000000 UTC N/A Disabled
15516 1544 explorer.exe 0xcf0f62758080 69 - 6 False 2026-03-29 11:59:13.000000 UTC N/A Disabled
18076 1308 svchost.exe 0xcf0f74360080 17 - 0 False 2026-03-29 12:38:14.000000 UTC N/A Disabled
8760 13832 msedge.exe 0xcf0f78132080 14 - 6 False 2026-03-29 13:18:22.000000 UTC N/A Disabled
26452 1308 svchost.exe 0xcf0f7eba00c0 29 - 0 False 2026-03-29 13:24:27.000000 UTC N/A Disabled
12612 1544 smartscreen.ex 0xcf0f85fc50c0 5 - 6 False 2026-03-29 14:09:52.000000 UTC N/A Disabled
25664 10932 conhost.exe 0xcf0f7b715080 2 - 6 False 2026-03-29 14:10:04.000000 UTC N/A Disabled
3488 1544 OpenConsole.ex 0xcf0f8252c080 9 - 6 False 2026-03-29 14:10:04.000000 UTC N/A Disabled
21452 1544 WindowsTermina 0xcf0f73e44080 32 - 6 False 2026-03-29 14:10:04.000000 UTC N/A Disabled
20396 10932 wsl.exe 0xcf0f6b2f5080 1 - 6 False 2026-03-29 14:10:04.000000 UTC N/A Disabled
0 120259084365 0xcf0f72988080 0 - - True 1601-01-01 07:02:20.000000 UTC 1601-01-01 05:14:57.000000 UTC Disabled
23648 13832 identity_helpe 0xcf0f766680c0 0 - 6 False 2026-03-29 14:12:33.000000 UTC 2026-03-29 14:12:46.000000 UTC Disabled
201275099022152 155344671703180 �
0xcf0f6ede5080 1140850689 - - True - 1557-10-12 23:12:29.000000 UTC Disabled
実行するとめっちゃ長い出力が出てきます。それぞれのパラメータについて軽く説明します。
PID PPID ImageFileName Offset(V) Threads Handles SessionId Wow64 CreateTime ExitTime File output
- PID:プロセスIDの略。プロセスごとに割り当てられる。
- PPID:そのプロセスの親のプロセスID。例えばPIDが808の
smss.exeは、親プロセスが4のSystemであることがわかる。 - ImageFileName:プロセスの名称
- Offset(V):Volatility3上で割り当てられた仮想のアドレス
- Threads:プロセスに割り当てられたスレッド数(スレッド = CPUの実行単位)
- Handles:プロセスが使っているリソースの数(ファイルやレジストリなど)
- SessionID:プロセスがシステムとユーザーのどっちに属しているのか
- Wow64:32bitで作られたプログラムかどうか(True or False)
- CreateTime:プロセスが作られた時間
- ExitTime:プロセスが終了した時間
- File output:プロセスがダンプ可能かどうか(True or False)
一覧を見ると、同じ名称で複数のプロセスを見かけることがあります。これらのプロセスは、見た目が同じであれど、内部処理が異なります。(PIDやPPIDも異なります)
今回は、この一覧から、よく見かけるプロセスを紹介します。結構長くなります。
csrss.exe
- プロセスやスレッドの作成、削除を行うプロセス
- これが無いとプロセスが機能しない
smss.exe
- ユーザセッションを作成するプロセス
-
smss.exeの次にwinlogon.exeという認証に関わるプロセスが実行される
explorer.exe
- エクスプローラの実行プロセス
- タスクバーやデスクトップ背景とかもここで管理されている
lsass.exe
- セキュリティポリシーの執行や認証に関わるプロセス
svchost.exe
- dll形式のサービスを実行するプロセス
- dllはプログラムのライブラリのようなもの
services.exe
- サービスを起動するプロセス
winlogon.exe
- 認証に関わるプロセス
conhost.exe
- コマンドラインの実行を担うプロセス
WUDFHost.exe
- ユーザーモードでデバイスドライバのフレームワークを補助するプロセス
dwm.exe
- ウィンドウの描画を管理するプロセス
vssvc.exe
- ボリュームシャドウコピー(HDDの中身を丸ごとコピーするサービス)を実行するプロセス
rundll32.exe
- dll内部の可数を呼び出すプロセス
taskhostw.exe
- タスクスケジューラ(指定した時間にプログラムを起動するサービス)を実行するプロセス
MsMpEng.exe
- Windows Defenderに関わるプロセス
NisSrv.exe
- ネットワークをリアルタイムで監視しているプロセス
WmiPrvSE.exe
- windowsの管理の中核を担うプロセス
- ようわからん
audiodg.exe
- Windows Audioで使われるプロセスで音関連の制御を担う
userinit.exe
- ログオン直後に起動するプロセス
ctfmon.exe
- 入力機能を管理するプロセス
- 日本魚入力、音声入力 etc...
msiexec.exe
- インストーラの実行プロセス
Widgets.exe
- ウィジェット機能を実行するプロセス
- スタート押したら出てくる天気予報のやつとか
msedge.exe
- edgeの実行プロセス
smartscreen.exe
- web上の脅威からユーザを保護するプロセス
- Windows Defender SmartScreenとして動いている
wininit.exe
- .ini(設定ファイル)を起動するプロセス
- 設定ファイルは、プログラムの中身を変更せずに動きだけを変更できるよう設定するプログラムのこと
ざっと書きましたが、この辺を押さえればメモリの中にはどんなプロセスが動いているのかある程度把握できるはず...多分
プロセスの分類についてなのですが、現段階での理解がいまいちなので次回改めて分析したいと思います。
また、これらの分類がプロセスの親子関係となんやかんやで関わってる?らしいのでそこも含めて勉強してきます。
余談(psscanコマンド)
vol3 -f memdump.mem windows.psscan
のコマンドを使うと、pslistでは表示されない終了済みプロセスや削除された(隠された)プロセスが見つかることが多いです。どうやらEPROCESS構造体を直接探索しているため、リンクリストに存在していないプロセスも表示するようです。