Как драйвер устройства может быть существенным, как монитор процесса
https://stackoverflow.com/questions/3939136
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Монитор процессов и исследователь поставляется EXE-файл. Но они включают водитель. -Где это находится.
Внутренними окнами,
Монитор процессов работает, извлечение драйвера устройства фильтра файловых систем от его исполняемого изображения (ProCMon.exe) в первый раз, когда вы запускаете его после загрузки, устанавливая драйвер в памяти, а затем удаляя изображение драйвера с диска.
Я хотел бы знать подробный механизм.
Есть ли какие-то коды об этом? Где я могу найти их.
Или вы могли бы объяснить мне это.
Спасибо.
Решение
В прошлый раз я посмотрел, это просто встроен в исполняемый в качестве ресурса. Вы можете использовать что-то вроде хакера ресурсов, чтобы увидеть его. Думаю, когда процесс запускается, он извлекает драйвер из раздела ресурса и устанавливает его.
Другие советы
Исполняемый файл в Windows может содержать среди прочего раздела «Ресурс». Это может содержать любые двоичные данные, которыми исполняемый файл может получить доступ во время выполнения.
Хитрость состоит в том, чтобы поставить весь другой исполняемый файл (файл SYS, например, водителя) внутри EXE во время ссылки. Затем во время выполнения экстракт EXE извлекает это в файл sys.
Тогда этот драйвер может быть загружен на лету (с помощью SC-Manager)
