كيف يمكن أن يكون برنامج تشغيل الجهاز exe مثل مراقبة العملية
https://stackoverflow.com/questions/3939136
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
يتم تزويد مراقبة العملية والمستكشف ملف EXE. لكنها تشمل سائق. -أين هي.
بواسطة Windows Internals ،
تعمل مراقبة العملية عن طريق استخراج برنامج تشغيل جهاز مرشح نظام الملفات من صورته القابلة للتنفيذ (procmon.exe) في المرة الأولى التي تقوم فيها بتشغيله بعد التمهيد ، وتثبيت برنامج التشغيل في الذاكرة ، ثم حذف صورة برنامج التشغيل من القرص.
أود أن أعرف آلية التفاصيل.
هل هناك بعض الرموز حول ذلك؟ أين يمكنني أن أجدهم.
أو هل يمكن أن تشرح لي هذا.
شكرًا.
المحلول
آخر مرة نظرت فيها إلى أنه تم تضمينه للتو في المورد القابل للتنفيذ. يمكنك استخدام شيء مثل Resource Hacker لرؤيته. أظن أنه عند بدء تشغيل العملية ، تستخرج برنامج التشغيل من قسم الموارد ويقوم بتثبيته.
نصائح أخرى
قد يحتوي الملف القابل للتنفيذ في Windows على قسم "موارد" أشياء أخرى. قد تحتوي على أي بيانات ثنائية ، والتي قد تصل إلى وقت التشغيل في وقت التشغيل.
الحيلة هي وضع كامل القابل للتنفيذ (ملف SYS للسائق على سبيل المثال) داخل EXE أثناء وقت الرابط. ثم في وقت التشغيل ، يستخرج exe هذا في ملف SYS.
ثم قد يتم تحميل برنامج التشغيل هذا على أساس الطيران (باستخدام مدير SC)
