Как драйвер устройства может быть EXE-файла, как Process Monitor
Process Monitor и Explorer поставляются в виде EXE-файла. Но они включают в себя водителя. -Где это находится.
Windows Internals,
Process Monitor работает путем извлечения драйвера устройства фильтрации файловой системы из его исполняемого образа (Procmon.exe) при первом запуске после загрузки, установке драйвера в памяти и последующем удалении образа драйвера с диска.
Я хотел бы знать механизм детализации.
Есть ли какие-нибудь коды по этому поводу? Где я могу их найти.
Или не могли бы вы объяснить мне это.
Благодарю.
2 ответа
В прошлый раз, когда я посмотрел, он был просто встроен в исполняемый файл как ресурс Вы можете использовать что-то вроде Resource Hacker, чтобы увидеть это. Я предполагаю, что когда процесс запускается, он извлекает драйвер из раздела ресурсов и устанавливает его.
Исполняемый файл в Windows может содержать среди прочего "ресурсный" раздел. Он может содержать любые двоичные данные, к которым исполняемый файл может обращаться во время выполнения.
Хитрость заключается в том, чтобы поместить весь другой исполняемый файл (например, файл SYS драйвера) в EXE-файл во время соединения. Затем во время выполнения EXE извлеките это в файл SYS.
Тогда этот драйвер может быть загружен на лету (с помощью SC-менеджера)