È possibile determinare il processo che ha eseguito l'iniezione DLL contro un processo vittima?
Dipende quando è necessario rilevarlo, quando succede o dopo il fatto.
Il rilevamento in tempo reale è molto più semplice perché è possibile collegare le funzioni di sistema utilizzate per iniettare DLL e registrare le informazioni. Quando un processo esegue il debug di se stesso, riceverà le notifiche quando vengono caricate le DLL. Oppure puoi elencare le DLL periodicamente e vedere le differenze. Esistono molti metodi di iniezione ed evita il rilevamento e il rilevamento è sempre dietro.
Rilevare l'iniezione e chi l'ha fatto dopo il fatto è molto difficile se non impossibile per alcuni metodi. Non esiste qualcosa come un log per memorizzare i dettagli di ciò che fanno i processi. Sono sicuro che alcuni metodi di iniezione lasciano reperti forensi, ma per la maggior parte dei metodi, sei fortunato se riesci a rilevare le tracce dell'iniezione stessa, per non parlare di chi l'ha fatto.