Отследить инжект dll в процесс ???

[fucil]

Суть такова, нужно сделать программу отслеживающая инжет в определенный процесс !
Например: Есть процесс, допустим calc.exe, инжектю в него либу (dll).
Вопрос: Как отследить что в calc заинжектили чужеродную dll, или как получить, полный список загруженных dll.
Пробовал получать список загруженных dll в процесс (в нашем случае calc.exe), результатов не дало, так как показывает неполный список dll (не показало загруженную мной dll), для получения загруженных в calc.exe библиотек, использовал psapi.dll (хотя загрузку psapi.dll показало).

Для проверки загружена или нет dll, использовал ProcessExplorer
Ниже код с помощью которого я получаю список загруженных dll.

Код:

function GetLoadedDLLList(sl: TStrings; ProcessId:Cardinal; Options: TModuleOptions = [moRemovePath]): Boolean;
type
  EnumModType = function (hProcess: Longint; lphModule: TModuleArray;
  cb: DWord; var lpcbNeeded: Longint): Boolean; stdcall;
var
  psapilib: HModule;
  EnumProc: Pointer;
  ma: TModuleArray;
  I: Longint;
  FileName: array[0..MAX_PATH] of Char;
  S: string;
  ph:THandle;
begin
  Result := False;

  if Win32Platform <> VER_PLATFORM_WIN32_NT then
    Exit;

  psapilib := LoadLibrary('psapi.dll');
  if psapilib = 0 then
    Exit;
  try
    EnumProc := GetProcAddress(psapilib, 'EnumProcessModules');
    if not Assigned(EnumProc) then Exit;
    sl.Clear;

    ph := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, false,ProcessId);
    try

    FillChar(ma, SizeOF(TModuleArray), 0);
    if EnumModType(EnumProc)(ph, ma, 400, I) then
    begin
      for I := 0 to 400 do
        if ma[i] <> 0 then
        begin
          FillChar(FileName, MAX_PATH, 0);
          GetModuleFileName(ma[i], FileName, MAX_PATH);
          if CompareText(ExtractFileExt(FileName), '.dll') = 0 then
          begin
            S := FileName;
            if moRemovePath in Options then
              S := ExtractFileName(S);
            if moIncludeHandle in Options then
              sl.AddObject(S, TObject(ma[i]))
            else
              sl.Add(S);
          end;
        end;
    end;
    Result := True;

    finally
     CloseHandle(ph);
    end;
  finally
    FreeLibrary(psapilib);
  end;
end;

Эксперты подскажите варианты !

[fucil]

Как можно запретить инжект dll мой процесс ?
Для порождения процесса использую следующий код:

Код:

var
 zAppName:array[0..512] of char;
 zCurDir:array[0..255] of char;
 WorkDir:String;
 StartupInfo:TStartupInfo;
 ProcessInfo:TProcessInformation;
begin
 StrPCopy(zAppName,'calc.exe');
 GetDir(0,WorkDir);
 StrPCopy(zCurDir,WorkDir);
 FillChar(StartupInfo,Sizeof(StartupInfo),#0);
 StartupInfo.cb := Sizeof(StartupInfo);
 StartupInfo.dwFlags := STARTF_USESHOWWINDOW;
 StartupInfo.wShowWindow :=SW_normal;
 CreateProcess(nil, zAppName, nil, nil, false, CREATE_NEW_CONSOLE or NORMAL_PRIORITY_CLASS, nil, zCurDir, StartupInfo, ProcessInfo);

[Человек_Борща]

Из user mode вряд ли это не удастся сделать. Драйвер если только...

[fucil]

Может как то можно запретить инжект в процесс ?
или запустить процесс с какой то защитой от инжекта ?
Писать драйвер врятли у меня получится

[Человек_Борща]

Нельзя ни запретить, ни защитить без драйвера. Драйвер до полного запуска процесса может многое видеть и делать, очень многое.
Нужно перехватывать ядерный ZwOpenProcess и проверять, чей PID открывается. Если нужного приложения, то возвращать ошибку.
Нормально выпалить сие можно только из драйвера) т.к. одним хуком ZwOpenProcess защита не делается)

[Dik0n]

Перехватывай LoadLibrary в процессе который хочешь защитить, большенство внедренцев используют именно ее.