Wie kann ein Gerätetreiber EXE sein wie Process Monitor
-
30-09-2019 - |
Frage
Process Monitor und Explorer eine EXE-Datei geliefert. Aber sie enthalten einen Treiber. -Wo ist es.
Mit dem Windows Internals,
Process Monitor arbeitet mit einem Dateisystemfilter Gerätetreiber von seinem ausführbaren Extrahieren Bild (Procmon.exe) das erste Mal, wenn Sie es nach einem Boot ausgeführt werden, um den Treiber im Speicher installieren, und dann das Löschen des Treiber-Image von der Festplatte.
Ich möchte den Detail-Mechanismus kennen.
Gibt es einige Codes darüber? Wo kann ich sie finden.
Oder könnten Sie erklären mir dies.
Danke.
Lösung
Das letzte Mal sah ich war es nur in die ausführbare Datei eingebettet als Ressource. Sie können es so etwas wie Resource Hacker verwenden, um zu sehen. Ich denke, wenn der Prozess beginnt es den Treiber von dem Ressource-Abschnitt extrahiert und installiert es.
Andere Tipps
Executable-Datei in Windows kann unter anderem „Ressource“ Abschnitt enthält. Es kann keine binären Daten enthält, der ausführbaren Datei kann den Zugang zur Laufzeit.
Der Trick ist, die ganze andere ausführbare Datei (die SYS-Datei des Treibers zum Beispiel) innerhalb eines EXE während der Verbindung Zeit zu setzen. Dann zur Laufzeit extrahieren die EXE diese in eine SYS-Datei.
Dann kann dieser Treiber on-the-fly geladen werden (unter Verwendung von SC-Manager)