如何跟踪哪个应用程序正在将dbghelp注入所有其他进程？

Question

在特定的系统上，dbghelp.dll似乎正在加载到所有进程中。因为我认为这不是正常行为，所以我猜测它是由其他应用程序注入的。有没有办法追踪是哪个应用程序在做这件事？实际的问题是，这种注入会导致system32\dbghelp.dll在我们自己安装的版本之前加载。这是一个问题，b/c我们需要加载我们安装的版本6.7.5.0，它包含在旧的dll中找不到的SymGetSymbolFile。我现在打赌其他一些应用程序、反病毒软件或病毒正在调用CreateProcessWithDll()，以便在执行时将dbghelp.dll加载到所有应用程序中。我只需要找出是谁干的？

Answer 1

检查gflags.exe (在WinDbg包中)是否在该系统上设置了任何全局标志。其中一些可能会导致进程的符号被自动加载，这就解释了为什么要加载dbghlp.dll。