Es gibt viele Tutorials, die zeigen, wie injizierter Code in den Prozessspeicher erkannt wird. Dies erfordert jedoch im Allgemeinen die Verwendung eines Debuggers.
Kann ein Prozess irgendwie erkennen, ob er von einem anderen Prozess mit Winapi injiziert wurde? Wenn ja, wie?
Gibt es insbesondere "feste / wahrscheinliche" Merkmale von injiziertem Code? Aus dieser Frage geht beispielsweise hervor, dass injizierter Code dadurch gekennzeichnet werden kann, dass er immer auf Seiten angezeigt wird, für die die folgenden Schutzflags gesetzt sind: PAGE_READWRITE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_WRITECOPY und möglicherweise (aber unwahrscheinlich) PAGE_EXECUTE. Können Sie auf andere Merkmale von injiziertem Code hinweisen?