デバイスドライバーはどのようにプロセスモニターのようなexeになりますか
-
30-09-2019 - |
質問
プロセスモニターとエクスプローラーには、exeファイルが提供されます。しかし、それらにはドライバーが含まれます。 -それはどこにある。
Windows Internals、
プロセスモニターは、実行可能ファイルイメージ(procmon.exe)からファイルシステムフィルターデバイスドライバーを抽出することで機能し、ブート後に最初に実行し、ドライバーをメモリにインストールし、ドライバー画像をディスクから削除します。
詳細メカニズムを知りたいです。
それについていくつかのコードはありますか?どこで見つけることができますか。
または、これについて説明してもらえますか。
ありがとう。
解決
前回、リソースとして実行可能ファイルに埋め込まれただけでした。リソースハッカーのようなものを使用して表示できます。プロセスが起動すると、リソースセクションからドライバーを抽出してインストールすると思います。
他のヒント
Windowsの実行可能ファイルには、とりわけ「リソース」セクションの中に含まれる場合があります。実行可能なバイナリデータが含まれている場合があります。実行可能な場合は、実行時にアクセスできます。
トリックは、リンク時間中にEXE内に他の実行可能ファイル全体(たとえば、ドライバーのSYSファイル)を配置することです。その後、実行時にEXEはこれをsysファイルに抽出します。
その後、このドライバーはフライでロードされる可能性があります(SCマネージャーを使用)
所属していません StackOverflow