Originariamente inviato da oregon
Direi che non potrebbe neanche con metodi complessi ... almeno non senza possibilità di errori ...
Escludere errori è impossibile, ma se è noto come è fatto l'eseguibile principale se ne può confrontare l'immagine in memoria con quella nota (escludendo naturalmente tutte le zone degli header PE sovrascritte dal loader); o più semplicemente, si può andare a pescare nelle risorse incorporate dell'immagine caricata in memoria il nome originale dell'eseguibile. Nulla di completamente sicuro, ovviamente, ma con una buona possibilità di riuscita.
Beh ... questo è abbastanza ovvio ...
Magari non lo sapeva.