¿Cómo puede ser un controlador de dispositivo EXE como monitor de procesos
https://stackoverflow.com/questions/3939136
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Monitor de procesos y el Explorador se suministran un archivo EXE. Pero incluyen un conductor. -Donde es la misma.
Por Windows Internals,
Monitor de proceso funciona mediante la extracción de un controlador de dispositivo de filtro del sistema de archivos de su ejecutable imagen (procmon.exe) la primera vez que se ejecuta después de un arranque, la instalación del controlador en la memoria, y luego borrar la imagen Controlador de un disco.
Me gustaría saber el mecanismo de detalle.
¿Hay algunos códigos sobre eso? ¿Dónde puedo encontrarlos.
O ¿podría explicar esto.
Gracias.
Solución
La última vez que miré que estaba incrustado en el archivo ejecutable como un recurso. Se puede usar algo como Resource Hacker para verlo. Supongo que cuando se inicia el proceso que extrae el controlador de la sección de recursos y lo instala.
Otros consejos
El archivo ejecutable en Windows puede contener entre otras cosas la sección "recursos". Puede contener cualquier dato binario, cuyo acceso se puede ejecutable en tiempo de ejecución.
El truco es poner toda la otra ejecutable (el archivo SYS del conductor, por ejemplo) dentro de un archivo EXE durante el tiempo de enlace. A continuación, durante la ejecución del EXE extraer esto en un archivo SYS.
A continuación, este controlador se puede cargar en la marcha (usando SC-manager)
