1
看來,在一個特定的系統上,dbghelp.dll被加載到所有進程中。由於我認爲這不是正常的行爲,我猜測它正在被其他應用程序注入。有沒有一種方法可以追蹤哪個應用正在執行此操作?實際的問題是,這個注入導致system32 \ dbghelp.dll在我們自己安裝的版本之前加載。這是一個概率,B/C我們需要加載我們的安裝版本6.7.5.0,其中包括在舊的DLL中找不到的SymGetSymbolFile。我目前正在考慮讓其他應用程序,防病毒軟件或病毒在執行時調用CreateProcessWithDll()將dbghelp.dll加載到所有應用程序中。我只需要一些方法來找出誰在做這個?如何追蹤哪個應用程序將dbghelp注入所有其他進程?
啊,很高興知道。在研究這些類型的問題時值得記住。事實證明,在這種情況下,罪魁禍首是SurveyClientNT.EXE。用戶報告的是IT安裝的軟件庫存跟蹤工具。我仍然很想知道如何更優雅地跟蹤dll注入源代碼......而不是我們使用的暴力破解方法,其中包括應用程序刪除/重新引導,直到問題消失。 – user495313 2010-11-05 15:01:35