如何追踪哪个应用程序将 dbghelp 注入所有其他进程?

Posted

技术标签:

【中文标题】如何追踪哪个应用程序将 dbghelp 注入所有其他进程?【英文标题】:How to track down which app is injecting dbghelp into all other processes? 【发布时间】:2010-11-02 22:13:02 【问题描述】:

似乎在特定系统上,正在将 dbghelp.dll 加载到所有进程中。由于我认为这不是正常行为,我猜测它是由其他一些应用程序注入的。有没有办法追踪哪个应用程序正在这样做?实际的问题是这种注入导致 system32\dbghelp.dll 在我们自己安装的版本之前被加载。这是一个问题,b/c 我们需要加载我们安装的 6.7.5.0 版本,其中包括在旧 dll 中找不到的 SymGetSymbolFile。我目前打赌其他一些应用程序、防病毒软件或病毒正在调用 CreateProcessWithDll() 以在执行时将 dbghelp.dll 加载到所有应用程序中。我只是需要一些方法来弄清楚是谁在做这件事?

【问题讨论】:

【参考方案1】:

检查gflags.exe(来自WinDbg 包)是否在该系统上设置了任何全局标志。其中一些可能会导致进程的符号自动加载,这可以解释为什么加载 dbghlp.dll。

【讨论】:

啊,很高兴知道。在查看这些类型的问题时,值得牢记。事实证明,在这种情况下,罪魁祸首是 SurveyClientNT.EXE。用户报告的是 IT 安装的软件库存跟踪工具。我仍然很想知道如何更优雅地跟踪 dll 注入源...而不是我们使用的蛮力方法,包括删除/重新启动应用程序,直到问题消失。

以上是关于如何追踪哪个应用程序将 dbghelp 注入所有其他进程?的主要内容,如果未能解决你的问题,请参考以下文章

使用 Dbghelp.h 的函数列表

我们如何追踪哪个组件应该显示主页?

如何持续追踪安卓手机的位置?

如何持续追踪安卓手机的位置?

iOS14新福利:可一键禁止所有App追踪用户信息

sh 将给定文件夹内的所有图像从彩色转换为灰度,调整它的黑白抖动级别并将其追踪到SVG矢量f