Come posso sapere quale programma è installato o sta usando un file DLL specifico?

Ho un file DLL nella directory SYSTEM32 di un server, di cui non sono sicuro di aver effettivamente bisogno.

Google mi ha detto a cosa serve normalmente, ma il software non è mai stato installato su questo sistema. Tuttavia, ritengo possibile che uno degli altri prodotti installati sul server abbia incluso (e quindi, presumaby, richiederà) il file.

Ho cercato nel registro il nome del file e anche alcune stringhe che ho trovato nei metadati del file e non sono riuscito a trovare nulla di informativo. (Anche se la chiave ACMru ha attirato la mia attenzione, fino a quando non ho scoperto a cosa serve .)

C'è qualcos'altro che posso fare, per far sì che il sistema stesso mi dica quale programma ha installato la DLL e / o quali programmi installati (se presenti) lo userebbero?

NOTA: i suggerimenti degli strumenti sono utili, ma non installerò o eseguirò alcun software aggiuntivo su questo sistema. Ho bisogno di lavorare con tutto ciò che è disponibile su un'installazione predefinita di Server 2003.

Verificherei la data in cui è stato inserito nel sistema e lo confronterei con altri file nel sistema per ottenere indizi. La ricerca dovrebbe consentire di effettuare ricerche nell'intero sistema per data.

Inoltre, pubblicare qui il nome del file consentirebbe ad alcuni qui che potrebbero averne familiarità di identificarlo per te.

Potresti potenzialmente esaminare ogni file .MSI nella cartella% SystemRoot% \ Installer. Tutti i (?) Programmi installati tramite il programma di installazione di Windows aggiungeranno qui il loro MSI in modo che possano essere disinstallati in un secondo momento. La cartella ha generalmente un sacco di cose. Se / Una volta trovata la DLL tra quella miriade di pacchetti MSI, dovrai mappare il pacchetto con un nome ben definito.

Per decompilare i file msi utilizzando uno script, puoi provare a utilizzare questo strumento VBS http://www.hanselman.com/blog/HowToListAllTheFilesInAnMSIInstallerUsingVBSciript.aspx oppure puoi provare un programma chiamato MSIDiff (che non ho mai usato) http: //dennisbareis.com/msidiff.htm . Naturalmente, considerando i vincoli di non dover installare strumenti, questi ultimi non dovranno funzionare a tale riguardo. Il primo sarebbe se cscript è installato.

Quest'ultimo strumento potrebbe eseguire la mappatura del nome del pacchetto per te senza ricorrere alla ricerca manuale nel registro del nome file GUI o MSI appropriato. Il primo strumento può essere modificato per scaricare il nome del pacchetto se sapessi quale tabella / colonna fare riferimento (non lo so).

Lo script VBS esamina semplicemente il file MSI dal punto di vista del database. Il lavoro chiave viene svolto con: database.OpenView ("SELECT FileName FROM File").

Process Monitor può farlo per te. Basta filtrare in base al nome della DLL e quando un programma tenta di caricarlo, verrà visualizzata una voce che menziona quale processo sta cercando e / o accedendo alla DLL citata.

Dovresti anche provare a fare un registro di avvio (abilita la registrazione di avvio nel menu, quindi riavvia e riapri il monitor di processo) che è necessario per catturare programmi e servizi che lo caricano all'avvio.