Process Monitor和Explorer提供了一个EXE文件。 但他们包括一名司机。 - 它在哪里。
通过Windows Internals,
Process Monitor通过从其可执行文件中提取文件系统过滤器设备驱动程序来工作 图像(Procmon.exe)第一次在启动后运行它,在内存中安装驱动程序,然后从磁盘中删除驱动程序映像。
我想了解详细机制 那有什么代码吗?我在哪里可以找到它们 或者你可以解释一下这个 感谢。
答案 0 :(得分:2)
上次我看它只是作为资源嵌入到可执行文件中。您可以使用Resource Hacker之类的东西来查看它。我想当进程启动时,它会从资源部分中提取驱动程序并安装它。
答案 1 :(得分:1)
Windows中的可执行文件可能包含“资源”部分。它可能包含任何二进制数据,可执行文件可以在运行时访问。
技巧是在链接时将整个其他可执行文件(例如驱动程序的SYS文件)放在EXE中。然后在运行时,EXE将其解压缩为SYS文件。
然后可以即时加载此驱动程序(使用SC管理器)