デバイスドライバーはどのようにプロセスモニターのようなexeになりますか

Question

プロセスモニターとエクスプローラーには、exeファイルが提供されます。しかし、それらにはドライバーが含まれます。 -それはどこにある。

Windows Internals、

プロセスモニターは、実行可能ファイルイメージ（procmon.exe）からファイルシステムフィルターデバイスドライバーを抽出することで機能し、ブート後に最初に実行し、ドライバーをメモリにインストールし、ドライバー画像をディスクから削除します。

詳細メカニズムを知りたいです。
それについていくつかのコードはありますか？どこで見つけることができますか。
または、これについて説明してもらえますか。
ありがとう。

Answer 1

前回、リソースとして実行可能ファイルに埋め込まれただけでした。リソースハッカーのようなものを使用して表示できます。プロセスが起動すると、リソースセクションからドライバーを抽出してインストールすると思います。

Answer 2

Windowsの実行可能ファイルには、とりわけ「リソース」セクションの中に含まれる場合があります。実行可能なバイナリデータが含まれている場合があります。実行可能な場合は、実行時にアクセスできます。

トリックは、リンク時間中にEXE内に他の実行可能ファイル全体（たとえば、ドライバーのSYSファイル）を配置することです。その後、実行時にEXEはこれをsysファイルに抽出します。

その後、このドライバーはフライでロードされる可能性があります（SCマネージャーを使用）