Comment un pilote de périphérique peut être EXE comme Process Monitor
https://stackoverflow.com/questions/3939136
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Process Monitor et Explorer sont fournis un fichier EXE. Mais ils comprennent un chauffeur. -Où est-il.
Par Windows Internals,
Moniteur de processus fonctionne en extraire un pilote de dispositif de filtre de système de fichiers à partir de son exécutable image (Procmon.exe) la première fois que vous exécutez après un démarrage, l'installation du pilote dans la mémoire, puis de supprimer l'image du pilote à partir du disque.
Je voudrais connaître le mécanisme de détail.
Y a-t-il des codes à ce sujet? Où puis-je les trouver.
Ou pourriez-vous me l'expliquer.
Merci.
La solution
La dernière fois que je l'ai regardé était juste intégré dans l'exécutable comme une ressource. Vous pouvez utiliser quelque chose comme Resource Hacker pour le voir. Je suppose que lorsque le processus démarre, il extrait le pilote de la section des ressources et l'installe.
Autres conseils
Le fichier exécutable sous Windows peut contenir entre autres choses la section « ressource ». Il peut contenir des données binaires, qui exécutable accès peut au moment de l'exécution.
L'astuce est de mettre toute autre exécutable (fichier SYS du pilote, par exemple) dans un fichier EXE pendant le temps de lien. Ensuite, lors de l'exécution extraire le fichier EXE ceci dans un fichier SYS.
Ensuite, ce pilote peut être chargé sur la volée (à l'aide-manager SC)
