Update analysis_processhollowing.md

Trickbot/analysis_processhollowing.md

@@ -114,6 +114,10 @@ Process Hollowingにも利用するデータに関する説明
 - 各APIの呼び出しで処理が失敗した場合，その時点でプロセスが終了する
 
 ![](https://github.com/mether049/malware/blob/master/Trickbot/img/apicall_15_720.png)
+- 以下は[NtQueryInformationProcess](https://docs.microsoft.com/ja-jp/windows/win32/api/winternl/nf-winternl-ntqueryinformationprocess?redirectedfrom=MSDN)の呼び出し後におけるPROCESS_BASIC_INFORMATION構造体の各メンバの値である
+- svchost.exeのプロセスIDは9652
+![](https://github.com/mether049/malware/blob/master/Trickbot/img/PROCESS_BASIC_INFORMATION.png)
+![](https://github.com/mether049/malware/blob/master/Trickbot/img/processhacker.PNG)
 
 ## to do..
 - 解析を進めて以下の部分について修正・追加を行う