检测进程创建

Question

我需要检测第三方 .NET 应用程序的进程创建。我的目标是注入一个插件 DLL 来增强该应用程序的功能。我希望尽早注入它，这样我就可以捕获应用程序的初始化事件。有没有办法检测这个进程何时创建并在调用 Main 之前注入 DLL？

Answer 1

通常的解决方案是用存根替换目标应用程序映像，该存根在受控参数下启动原始映像。

还有其他方法，例如 GFlags，但它们旨在用于调试不适用于正常操作。

Answer 2

如果您无法按照 Remus 的建议替换原始应用程序，您可能需要考虑使用系统级挂钩并拦截 CreateProcess() API 系列函数并监视它们的所有调用。

请参阅：API 挂钩揭示

这有点复杂，您可能会遇到各种各样的问题问题，例如 vista 和其他挂钩库的问题：
http://forum.madshi.net/viewtopic.php?p=15833

Answer 3

坏主意。

你可能认为我很严厉，但我已经看到我的进程崩溃了，因为一些小丑认为向其中注入一些随机 DLL 以实现“增强功能”是一个好主意。您可能会破坏其他人地址空间的稳定。停止吧。更重要的是，当你的错误代码搞砸了他们时，他们会受到指责。

允许您将代码注入另一个进程的 API 实际上是为了编写调试器。如果您不编写调试器，请不要在生产代码中使用它们。你这是在玩火。