Похоже, что на конкретной системе dbghelp.dll загружается во все процессы. Поскольку я считаю, что это не нормальное поведение, я предполагаю, что оно вводится каким-либо другим приложением. Есть ли способ отслеживать, какое приложение это делает? Фактическая проблема заключается в том, что эта инъекция вызывает загрузку system32 \ dbghelp.dll перед нашей собственной установленной версией. И это проблема, b/c нам нужно загрузить нашу установленную версию 6.7.5.0, которая включает SymGetSymbolFile, которая не найдена в старой DLL. В настоящее время я принимаю ставки, что какое-то другое приложение, антивирусное программное обеспечение или вирус вызывает CreateProcessWithDll() для загрузки dbghelp.dll во все приложения во время выполнения. Мне просто нужно выяснить, кто это делает?Как отслеживать, какое приложение вводит dbghelp во все другие процессы?
1
A
ответ
0
Обратитесь к (из пакета WinDbg), если в этой системе установлены глобальные флаги. Некоторые из них могут привести к тому, что символы для процесса загружаются автоматически, что объясняет, почему загружается dbghlp.dll.
А, хорошо знать. Стоит иметь в виду, глядя на эти проблемы. Оказывается, в этом случае виновником был SurveyClientNT.EXE. Отчеты пользователей - это инструмент отслеживания инвентаризации программного обеспечения, установленный ИТ. Мне все равно хотелось бы узнать, как более элегантно отслеживать источник инъекции dll ... вместо метода грубой силы, который мы использовали, который состоял из удаления/перезагрузки приложения, пока проблема не исчезла. – user495313