如何追踪哪个应用程序将 dbghelp 注入所有其他进程？

Posted 2023-02-16

【中文标题】如何追踪哪个应用程序将 dbghelp 注入所有其他进程？

【英文标题】：How to track down which app is injecting dbghelp into all other processes?

【发布时间】：2010-11-02 22:13:02

【问题描述】：

似乎在特定系统上，正在将 dbghelp.dll 加载到所有进程中。由于我认为这不是正常行为，我猜测它是由其他一些应用程序注入的。有没有办法追踪哪个应用程序正在这样做？实际的问题是这种注入导致 system32\dbghelp.dll 在我们自己安装的版本之前被加载。这是一个问题，b/c 我们需要加载我们安装的 6.7.5.0 版本，其中包括在旧 dll 中找不到的 SymGetSymbolFile。我目前打赌其他一些应用程序、防病毒软件或病毒正在调用 CreateProcessWithDll() 以在执行时将 dbghelp.dll 加载到所有应用程序中。我只是需要一些方法来弄清楚是谁在做这件事？

【参考方案1】：

检查gflags.exe（来自WinDbg 包）是否在该系统上设置了任何全局标志。其中一些可能会导致进程的符号自动加载，这可以解释为什么加载 dbghlp.dll。

【讨论】：

啊，很高兴知道。在查看这些类型的问题时，值得牢记。事实证明，在这种情况下，罪魁祸首是 SurveyClientNT.EXE。用户报告的是 IT 安装的软件库存跟踪工具。我仍然很想知道如何更优雅地跟踪 dll 注入源...而不是我们使用的蛮力方法，包括删除/重新启动应用程序，直到问题消失。