Есть ли способ идентифицировать процессы, подключенные к определенной DLL?Обнаружение крюка API
Например, Когда вредоносное ПО заражается, оно происходит с помощью api, например, для функции «InternetConnect» в «Wininet.dll». Итак, как определить эти подключенные программы для определенного api?
Я думаю, что ответ вы будете искать это один размещена здесь: https://security.stackexchange.com/questions/17904/what-are-the-methods-to-find-hooked-functions-and-apis
В принципе, короткая версия этого является то, что если вы хотите, чтобы проверить наличие общих способов пользовательского уровня API подсекать, вы могли бы попробуйте:
This paper также рекомендуется как очень хороший ресурс для этого вопроса
Если вы хотите, чтобы искать его вручную, используйте Dependency Walker для поиска библиотек DLL, к которым ссылается исполняемый файл (статические ссылки) или для среды выполнения, используйте explorer (sysinternals) и проверьте загруженные модули (dll) в памяти и их подписи для этого процесса.
Поиск Google для обоих инструментов, вы найдете его бесплатным и простым в использовании.
Process Monitor - один из других инструментов sysinternals, если вам интересно приложить процесс и посмотреть все действия процесса (например, вызовы файловой системы, вызовы реестра и т. Д.).