Process Monitor 和 Explorer 提供一个 EXE 文件。但他们包括一名司机。-它在哪里。
通过 Windows 内部,
Process Monitor 的工作原理是在启动后第一次运行时从其可执行映像 (Procmon.exe) 中提取文件系统过滤设备驱动程序,将驱动程序安装到内存中,然后从磁盘中删除驱动程序映像。
我想知道详细的机制。
有一些关于那个的代码吗?我在哪里可以找到它们。
或者你能给我解释一下。
谢谢。
问问题
1793 次
2 回答
3
上次我查看它只是作为资源嵌入到可执行文件中。你可以使用 Resource Hacker 之类的东西来查看它。我猜当进程启动时,它会从资源部分提取驱动程序并安装它。
于 2010-10-15T14:28:16.783 回答
1
Windows 中的可执行文件可能包含“资源”部分。它可以包含任何二进制数据,可执行文件可以在运行时访问。
诀窍是在链接期间将整个其他可执行文件(例如驱动程序的 SYS 文件)放入 EXE 中。然后在运行时 EXE 将其解压缩到一个 SYS 文件中。
然后可以动态加载此驱动程序(使用 SC-manager)
于 2010-10-22T00:02:16.000 回答