Як я можу дізнатися, яка програма встановлена ​​або використовується певний файл DLL?

У мене в каталозі SYSTEM32 одного сервера є файл DLL, який я не впевнений, що мені справді потрібен.

Google сказав мені, для чого зазвичай використовується, але програмне забезпечення ніколи не було встановлено в цій системі. І все-таки я вважаю можливим, що один з інших встановлених продуктів на сервері, можливо, включив (і, отже, вимагається) цей файл.

Я здійснив пошук у Реєстрі за назвою файлу, а також за деякими рядками, знайденими у метаданих файлу, і не зміг знайти нічого інформативного. (Хоча клавіша ACMru дійсно кинула мене в очі, поки я не з'ясував, для чого це .)

Чи можу я зробити щось інше, щоб система сама сказала мені, яка програма встановила DLL та / або яка встановлена ​​програма (якщо такі) використала б її?

ПРИМІТКА. Пропозиції інструментів є приємними, але я не буду встановлювати або запускати додаткове програмне забезпечення в цій системі. Мені потрібно працювати з тим, що є в установці Server 2003 за замовчуванням.

Я перевірив би дату її розміщення в системі і порівняв її з іншими файлами в системі, щоб отримати підказки. Пошук повинен дозволяти вам шукати всю систему за датою.

Крім того, розміщення імені файла тут дозволить деяким тут, хто може бути знайомий з ним, ідентифікувати його.

Ви могли потенційно вивчити кожен .MSI файл у папці% SystemRoot% \ Installer. Усі (?) Програми, встановлені через інсталятор Windows, додадуть тут свій MSI, щоб потім можна було його встановити. Загалом у папці є маса матеріалів. Якщо / як тільки ви знайдете dll серед цих безлічі пакетів MSI, вам доведеться зіставити пакунок назад до чітко визначеного імені.

Щоб декомпілювати файли msi за допомогою сценарію, ви можете спробувати скористатися цим інструментом VBS http://www.hanselman.com/blog/HowToListAllTheFilesInAnMSIInstallerUsingVBSciript.aspx або спробувати програму MSIDiff (яку я ніколи не використовував) http: //dennisbareis.com/msidiff.htm . Зрозуміло, враховуючи обмеження того, що не потрібно встановлювати інструменти, останній не потребуватиме роботи в цьому плані. Перший би, якщо встановлено cscript.

Останній інструмент може зробити для вас відображення імені пакета, не вдаючись до ручного пошуку реєстру для відповідного імені файлів GUID або MSI. Колишній інструмент можна змінити для скидання імені пакета, якщо ви знали, на яку таблицю / стовпець слід посилатися (я цього не роблю).

Сценарій VBS просто вивчає файл MSI з точки зору бази даних. Ключова робота виконується за допомогою: database.OpenView ("SELECT FileName FROM File").

Монітор процесів може зробити це за вас. Просто фільтруйте по імені DLL, і коли програма намагається завантажити його, там з’явиться запис, який згадує, який процес шукає та / або отримує доступ до згаданої вами DLL.

Вам також слід спробувати зробити журнал завантаження (увімкнути журнал завантаження в меню, потім перезавантажити та знову відкрити монітор процесу), який необхідний для лову програм та служб, які завантажують його під час завантаження.