1. プロセスにデバッガをアタッチする
試してないですが、ダンプファイルの解析でも出来るんじゃないかな?
ダンプファイルの場合は次のステップからやってみてください。
2. IATの中身を見たいモジュールの先頭アドレスを探す
0:001> lm
3. PEヘッダーの中身を確認
0:001> !dh <start address> -f
- IATテーブルの相対アドレスとサイズが出力結果から確認できるはず
4. IATテーブルの中身を出力(可能なら限りシンボルを解決させながら)
0:001> dps <start address+IATテーブルの相対アドレス> <start address+IATテーブルの相対アドレス+IATテーブルのサイズ>
IATの中身がシンボル付きで出てくるはず。
IATテーブルが書き換えられてAPI呼び出しがフックされているような場合はIATテーブルの中身が普段と異なる値になってると思う。
参考URL