¿Es posible determinar el proceso que realizó la inyección de DLL contra un proceso víctima?
Depende de cuándo necesitas detectarlo, cuándo está sucediendo o después del hecho.
La detección en vivo es mucho más fácil porque puede enlazar las funciones del sistema que se utilizan para inyectar DLL y registrar la información. Cuando un proceso se depura, recibirá notificaciones cuando se carguen DLL. O puede listar archivos DLL periódicamente y ver las diferencias. Hay muchos métodos de inyección y evitar la detección y la detección siempre está detrás.
Detectar la inyección y quién lo hizo después del hecho es muy difícil, si no imposible, para algunos métodos. No hay algo como un registro para almacenar los detalles de lo que hacen los procesos. Estoy seguro de que algunos métodos de inyección dejan atrás los artefactos forenses, pero para la mayoría de los métodos, tienes suerte si puedes detectar rastros de la inyección en sí, por no mencionar quién lo hizo.