开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何找出我的dll连接到了哪个进程？

要找出一个DLL连接到了哪个进程，可以使用以下方法：

使用工具：可以使用一些工具来查找DLL连接到的进程，例如Process Explorer、Process Hacker等。这些工具可以显示系统中运行的进程以及它们加载的DLL。通过查找DLL的名称，可以确定它连接到了哪个进程。
使用命令行工具：在Windows系统中，可以使用命令行工具来查找DLL连接到的进程。打开命令提示符（CMD）并输入以下命令：tasklist /m [DLL名称]。这将列出加载了指定DLL的所有进程。
使用编程语言：如果你是开发工程师，可以使用编程语言来编写一个程序来查找DLL连接到的进程。例如，使用C#可以使用System.Diagnostics命名空间中的Process类和Module类来获取进程和模块信息，然后通过比对DLL名称来确定连接的进程。

总结：要找出一个DLL连接到了哪个进程，可以使用工具、命令行工具或编程语言来实现。通过查找DLL的名称，可以确定它连接到了哪个进程。

相关搜索:如何找出哪个进程正在使用我的GPU？如何找出哪个进程正在读磁盘？如何找出是哪个进程发送了请求？如何找出在python中出现"ImportError: DLL load failed which“中哪个DLL失败？在执行Hibernate查询时，我如何找出哪个连接占用的时间最多？找出哪个进程具有USB设备句柄的独占锁定我应该复制哪个Qt DLL以使我的程序独立？我如何找出哪个gem(s)导致了特定gem的捆绑？如何使用进程监视器来确定哪个 DLL 导致了 BadImageFormatException 如何找出我的工作副本来自哪个版本控制系统？如何找出哪个服务器在我的Windows域上托管LDAP？如何找出连接到 Internet 的 NIC？如何找出Linux中使用交换空间的进程？如何找出oracle进程当前正在执行的操作如何找出哪个.dylib文件包含特定的boost功能如何根据javascript中的id找出哪个html标记如何找出哪个文件是Python的“启动器”如何找出哪些包与哪个版本的Node兼容？我如何才能找出编码路径中的哪个元素导致了Swift解码错误？如果安装了多个Bundle版本，我如何找出使用的是哪个版本？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

使用VOLATILITY发现高级恶意软件

当一个公司被高级恶意软件感染，一个正确的应急响应应该是去识别恶意软件和修复系统，建立更好的安全控制体系来防止未来此类事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染，并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。内存技术是指从运行的电脑中取出内存镜像来进行分析的技术，其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索，比如运行的进程，网络连接，加载的模块等等，同时他能够帮助脱壳，Rootkit检测和逆向工程。内存

05

深入解析新型加密货币挖矿恶意软件ZombieBoy

延续了2018年加密货币挖矿恶意软件的趋势，我发现了另一种类似于5月初发现的“MassMine”的挖矿恶意软件。我把这个家族称为ZombieBoy，因为它使用了一个名为ZombieBoyTools的工具来释放第一个dll。

02

从加勒比海岸到用户设备：Cuba勒索软件详析

充分的了解是打击网络犯罪的最佳武器。了解不同团伙的运作方式及其使用的工具有助于建立有效的防御和取证流程。本报告详细介绍了Cuba组织的历史，以及他们的攻击战术、技术和程序（TTP），旨在帮助组织在类似的威胁面前领先一步。

02

它们的屠城史–木马技术发展趋势与回顾

新的学期开始了，某大学网络管理专业三年级的同学们显得特别兴奋，这个学期的课程安排里终于出现了“网络安全”课程，一直对安全技术甚至黑客攻防手段感兴趣的同学更是对这门课程充满了期待，可是在几天的课程下来以后，同学们的兴奋之火却被浇熄了不少：首先学校颁发的教材书籍里的示例系统是Windows NT 4.0和Windows 98的安全攻防和简单的木马检测，而同学们用的都是Windows XP，和NT的简陋界面怎么都联系不到一块；其次负责此课程的老师完全是属于依葫芦画瓢的教学模式，甚至某次一个同学提问如何检测查杀灰鸽子木马的时候，老师足足盯了该同学5分钟以后才冒出一句“用正版杀毒软件啊！”。

02

手把手教你如何利用Meterpreter渗透Windows系统

在这篇文章中，我们将跟大家介绍如何使用Meterpreter来收集目标Windows系统中的信息，获取用户凭证，创建我们自己的账号，启用远程桌面，进行屏幕截图，以及获取用户键盘记录等等。

04

Visual Studio中/MD /MDd /MT /MTd的含义以及_ITERATOR_DEBUG_LEVEL错误的解决方法

先上结论，如果你遇到了_ITERATOR_DEBUG_LEVEL doesnt match error，那一定是你链接的库的DEBUG或RELEASE版本与你当前的项目活动配置不符。不同的值代表的含义如下：

02

从Windows 10 SSH-Agent中提取SSH私钥

在这个周末我安装了Windows 10 Spring Update，最令我期待的就是它的内置OpenSSH工具，这意味着Windows管理员不再需要使用Putty和PPK格式的密钥了。随后，我花了些时间来探索并了解该版本所支持的特性。最终没有令我失望，我惊喜地看到ssh-agent.exe也被包含在内。在MSDN的一篇关于使用新Windows ssh-agent文章的以下部分，引起了我的注意：

03

WSP ( CVE-2022-24934 ) APT

我们最近发现了一个APT我们正在调用的活动Operation Dragon Castling。该活动的目标是似乎在投注的公司South East Asia，更具体地说是位于Taiwan、Philippines和的公司Hong Kong。有了适度的信心，我们可以将活动归因于一个Chinese speaking APT group，但不幸的是不能将攻击归因于特定的群体，并且不确定攻击者的目标是什么。

Windows 进程 Tasklist查看与 Taskkill结束

1、”Tasklist” 命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具，带有多个执行参数。类似Linux系统的ps命令

04

小白第一次逆向破解微信撤回功能

主要的是，我在学习逆向时，逛论坛的时候看了一篇反编译QQ的文章（连接在文章末尾处），引发了我的好奇心，尝试去操作，没想到基本上是一模一样的操作，目的就是找出撤回功能，然后将这个功能jmp掉，就成功了。如果逆向大佬看到这篇文章，不用浪费时间了。

04

Winnti黑客组织MSSQL后门分析

一段时间以来，ESET的研究人员一直在跟踪Winnti的活动，该组织从2012年起就开始活跃，并针对视频游戏和软件行业供应链进行攻击。最近，发现了一个以前未经记录的后门，其目标是Microsoft SQL（MSSQL）。这个后门与PortReuse后门有多处相似之处，PortReuse是Winnti Group使用的另一个工具，于2019年10月首次记录。

02

windows 显示进程的命令 TASKLIST 详解

用jstat查看jvm内存的使用的情况时，因为是windows机器，不能使用top命令方便的查出来，进程好在网上搜了一下看到了在windows原来使用的是tasklist

01

小白第一次逆向破解微信撤回功能（文末有福利）

最近在完成老师布置的一个逆向作业，之前从没接触过逆向，老师布置的两个程序，我仅解出来半个，因为有两层密码，其中第一层就是用“爆破法”做的。

02

微软发布“Raspberry Robin”恶意软件警告

这个恶意软件被称为“树莓知更鸟”（Raspberry Robin），它主要是通过被感染的 USB 设备进行传播。

02

tasklist命令

大家好，又见面了，我是你们的朋友全栈君。[align=center][size=large]Tasklist命令[/size][/align]

02

edr对抗技术1-api unhook output

这里借用别人的一张图，大概是这样：因为刚开始是有一个ntdll被载入内存，然后杀软对其hook，自然也就是修改了代码段。然后这个时候，我们用新的ntdll的代码段覆盖被hook的代码段，实现ntdll重载。

01

进攻性横向移动

横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念，即使是中等成熟的商店也会检测到它并迅速关闭它，或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec)，这意味着生成尽可能少的日志，或者生成看起来正常的日志，即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术，但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法，因为它是我们主要用于 C2 的语法，但是 Cobalt Strike 的内置横向移动技术是相当嘈杂，对 OpSec 不太友好。另外，我知道不是每个人都有 Cobalt Strike，所以在大多数示例中也引用了 Meterpreter，但这些技术是通用的。

01

PHP目前比较常见的五大运行模式

做 php 开发的应该都知道 php 运行模式概念吧，本文将要和大家分享的是关于php目前比较常见的五大运行模式：包括cgi 、fast-cgi、cli、isapi、apache模块的DLL ，下面作者就这五大运行模式做一些自己的分析，有不对的地方，还请留言指正。

02

Permission elevation

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。（本文仅用于交流学习）系统服务提权低权限用户可以检查"Authenticated Users"组和"INTERACTIVE"组对系统服务的权限。 "Authenticated Users"组：经过身份验证的用户，但不包括来宾账户组：包含所有直接登录到计算机进行操作的用户。不安全的服务权限如果低权限用户可以对一些高权限服务启动时的文件有写权限，那么就可以将其替换

04

Windows Api学习笔记-动态连接库(DLL)的使用

#include <windows.h> #include <iostream> #include "12dll.h" using namespace std; #pragma comment(lib,"12Dll")//要链接到什么库文件 void main() { //CMy12Dll a; cout<<fnMy12Dll()<<endl; char b; cin>>b; } VS2008 新建WIN32项目选择动态连接库应用程序类型为：WINDOWS 应用程序附加选项为：导出符号 d

02

Tasklist命令详解

“Tasklist”命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具，带有多个执行参数。

01

windows Tasklist命令详解

“Tasklist”命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具，带有多个执行参数。

00

内网渗透｜获取远程桌面连接记录与RDP凭据

Windows 远程桌面是用于管理 Windows 服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面，攻击者也喜欢使用（狗头）。在之前的文章中我们已经介绍了很多攻击远程桌面的方法，本篇文章我们继续来探究。

01

内网渗透｜获取远程桌面连接记录与RDP凭据

Windows 远程桌面是用于管理 Windows 服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面，攻击者也喜欢使用（狗头）。在之前的文章中我们已经介绍了很多攻击远程桌面的方法，本篇文章我们继续来探究。

03

渗透测试神器CobaltStrike使用教程

Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。

02

程序如何运行：编译、链接、装入

在多道程序环境下，要使程序运行，必须先为之创建进程。而创建进程的第一件事，便是将程序和数据装入内存。如何将一个用户源程序变为一个可在内存中执行的程序，通常都要经过以下几个步骤：

01

关闭反恶意软件保护（第 1 部分）-Windows Defender 防病毒

人们总是低估 Ring 3 的代码执行，因为它在网络攻击的情况下似乎毫无用处。反病毒代理通常会在恶意软件开始造成严重破坏之前将其击败，与在第 0 环中不同，攻击者只需覆盖回调和钩子并继续为所欲为。

02

游戏如何限制程序多开

破解方法：（1）隐藏进程。可以用工具 HideToolz，也可以自己写驱动简单的做个摘链隐藏。（2）hook 游戏遍历进程的 api。

01

HITB 2020：二进制漏洞挖掘仍是会议主流方向

本周Hack In The Box官方已经将大会演讲视频上传到YouTube，之前在官网有提供部分议题的pdf下载，但有些未提供的议题，这次也公开了视频，可以看到议题ppt内容。

03

“强奸”全球43款杀软的木马是怎样的存在？（附网友神评论）

1 背景只要插上网线或连上WIFI，无需任何操作，不一会儿电脑就被木马感染了，这可能吗？近期，腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种，该木马功能强大，行为诡异，本文将对其进行详细分析，以下是该木马的主要特点： 1 木马功能强大，主要以信息情报收集为主，能够监控监听大量的聊天软件，收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等； 2 木马对抗性强，能够绕过几乎全部的安全软件主动防御，重点对抗国内安全软件，能够调用安全软件自身的接口将木马加入白名单，作者投入了大量的精力逆向研究安

08

[记录点滴]授人以渔，从Tensorflow找不到dll扩展到如何排查问题

本文将通过一个经典的 “tensorflow找不到dll” 问题来入手，给大家一个如何找到缺失dll的办法，进而再分享一个windows上排查问题的好工具（因为大多开发者在windows上开发&在linux上部署，windows还是绕不过）。

02

Windows 身份验证中的凭据管理

Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机，身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明（例如证书、密码或 PIN）相关联的数字文档。

01

DOS命令 tasklist

在Windows XP中使用“Ctrl+Alt+Del”组合键，进入“Windows 任务管理器”，在“进程”选项卡中可以查看本机完整的进程列表，而且可以通过手工定制进程列表的方式获得更多的进程信息，如会话ID、用户名等，但遗憾的是，我们查看不到这些进程到底提供了哪些系统服务。其实，在Windows XP中新增的一个命令行工具“Tasklist.exe”就能实现上面的功能。

01

黑客通过游戏外挂植入后门病毒弹窗叫嚣“杀毒无用”

近日，火绒安全团队收到用户反馈后发现，有后门病毒正通过“穿越火线”等多款游戏外挂传播（具体见下图），并通过QQ群、网盘等渠道持续扩散。该后门病毒入侵用户电脑后，还会继续实施下载勒索病毒等危害行为，甚至还通过后门病毒向用户下发消息弹窗“别杀毒了，木有用”，影响恶劣。

03

记一次某城乡结合部应急支撑工作

本文文章不涉过多及脱壳和逆向技术，仅对病毒作行为分析，相对简单易学。逆向苦手不用害怕。

02

记一次IIS-Raid后门应急经历

晚上9点学校打电话说官网服务器可能被入侵了，第一时间登录服务器发现被装了一堆 360 的产品，360安全卫士，360安全杀毒等等，之后又重新安装上了卡巴斯基卸载了360

01

1.12 进程注入ShellCode套接字

在笔者前几篇文章中我们一直在探讨如何利用Metasploit这个渗透工具生成ShellCode以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向ShellCodeShell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与《运用C语言编写ShellCode代码》中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对Metasploit工具生成的Shell原理的理解能够起到促进作用。

04

1.12 进程注入ShellCode套接字

在笔者前几篇文章中我们一直在探讨如何利用Metasploit这个渗透工具生成ShellCode以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向ShellCodeShell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与《运用C语言编写ShellCode代码》中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对Metasploit工具生成的Shell原理的理解能够起到促进作用。

04

工具的使用 | Metasploit Framework(MSF)的使用

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程，被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的，但是再后来的新版中，改成了用Ruby语言编写的了。在kali中，自带了Metasploit工具。我们接下来以大名鼎鼎的永恒之蓝MS17_010漏洞为切入点，讲解MSF框架的使用。

02

我与学校SafeConnect软件斗智斗勇的经历

*本文原创作者：zasdfgbnm，本文属FreeBuf原创奖励计划，未经许可禁止转载故事是这样的，本文作者在美国某大学读书，学校IT部门要求我们如果Windows或者Mac OS要连接学校网络的话，必须安装SafeConnect客户端。由于SafeConnect客户端不支持Linux系统，同时学校中Linux用户的数量相当多，所以Linux系统不需要安装任何客户端，直接就能访问网络，这是一个关键性的切入点。这个客户端干的事情就是监视你的系统，确保你安装、启用并及时更新杀毒软件，确保你及时更新电脑上

05

CS学习笔记 | 10、如何管理Payload载荷

到目前为止，已经学过了如何在有漏洞的目标上获取立足点的方法，接下来将继续学习后渗透相关的知识，这一节就来学习学习 beacon 的管理、会话传递等。

03

Elastic 5分钟教程：使用EQL获取威胁情报并搜索攻击行为

在此视频中，您将学习如何获取威胁情报报告并搜索攻击行为，任何级别的分析师可通过elastic security实现此目标。

07

SPAWN - Cobalt Strike BOF

Cobalt Strike BOF 产生一个牺牲进程，用 shellcode 注入它，并执行有效载荷。旨在通过使用任意代码保护 (ACG)、BlockDll 和 PPID 欺骗生成牺牲进程来逃避 EDR/UserLand 钩子。

04

【操作】Cobalt Strike 浏览器跳板攻击

攻击者获取了目标机器的 Beacon shell，然后通过 Cobalt Strike 的 screenshot 工具进行截屏，看到受害机上的终端用户正在与 web 应用程序进行交互，比如登陆了在线邮箱，正在邮箱应用的网页版客户端查看邮件。这种应用对于实现后渗透目标具有很高的价值。

02

任意文件移动导致的Windows提权攻击分析

本文介绍了如何滥用Windows上特权进程执行文件操作来实现本地特权升级（用户到管理员/系统），同时介绍了利用这些类型的错误的现有技术以及漏洞利用工具。

02

驱动开发：内核LoadLibrary实现DLL注入

远程线程注入是最常用的一种注入技术，在应用层注入是通过CreateRemoteThread这个函数实现的，该函数通过创建线程并调用 LoadLibrary 动态载入指定的DLL来实现注入，而在内核层同样存在一个类似的内核函数RtlCreateUserThread，但需要注意的是此函数未被公开，RtlCreateUserThread其实是对NtCreateThreadEx的包装，但最终会调用ZwCreateThread来实现注入，RtlCreateUserThread是CreateRemoteThread的底层实现。

02

俄罗斯400多家工业企业遭遇网络钓鱼攻击

卡巴斯基实验室（Kaspersky Lab）ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件，主要针对的是与工业生产相关的企业和机构。网络钓鱼电子邮件伪装成合法的商业邀请函，主要被发送给位于俄罗斯的工业企业，且每一封电子邮件的内容都与目标收件人所从事的工作有很大的相关性。

04

驱动开发：内核LoadLibrary实现DLL注入

远程线程注入是最常用的一种注入技术，在应用层注入是通过CreateRemoteThread这个函数实现的，该函数通过创建线程并调用 LoadLibrary 动态载入指定的DLL来实现注入，而在内核层同样存在一个类似的内核函数RtlCreateUserThread，但需要注意的是此函数未被公开，RtlCreateUserThread其实是对NtCreateThreadEx的包装，但最终会调用ZwCreateThread来实现注入，RtlCreateUserThread是CreateRemoteThread的底层实现。

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭