Come può un driver di periferica essere EXE come Process Monitor
https://stackoverflow.com/questions/3939136
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Process Monitor ed Explorer sono forniti un file EXE. Ma includono un driver. -Dove è esso.
Per Windows Internals,
Process Monitor funziona estraendo un driver di dispositivo di filtro del file system dal suo eseguibile immagine (Procmon.exe) la prima volta che lo si esegue dopo un avvio, l'installazione del driver nella memoria, e quindi eliminare l'immagine del driver dal disco.
mi piacerebbe conoscere il meccanismo particolare.
Ci sono alcuni codici a riguardo? Dove posso trovarli.
O potrebbe me questo spiegare.
Grazie.
Soluzione
L'ultima volta che ho guardato è stato appena incorporato nel file eseguibile come una risorsa. È possibile usare qualcosa come Resource Hacker per vederlo. Credo che quando il processo inizia estrae il driver dalla sezione delle risorse e lo installa.
Altri suggerimenti
file eseguibile in Windows può contenere tra le altre cose la sezione "risorsa". Può contenere tutti i dati binari, che eseguibile di accesso può in fase di esecuzione.
Il trucco è quello di mettere l'intero altro eseguibile (il file SYS del driver per esempio) all'interno di un file EXE durante il tempo di collegamento. Poi in fase di esecuzione il file EXE estratto questo in un file SYS.
Allora questo driver può essere caricato on-the-fly (utilizzando SC-manager)
