ProcessMonitorとExplorerにはEXEファイルが提供されています。しかし、それらにはドライバーが含まれています。-それはどこにある。
Windows Internalsにより、
Process Monitorは、起動後に初めて実行するときに実行可能イメージ(Procmon.exe)からファイルシステムフィルターデバイスドライバーを抽出し、ドライバーをメモリにインストールしてから、ディスクからドライバーイメージを削除することで機能します。
詳細な仕組みを知りたいのですが。
それについていくつかのコードはありますか?どこで見つけることができますか。
または、これを説明してもらえますか。
ありがとう。
前回見たときは、リソースとして実行可能ファイルに埋め込まれているだけでした。ResourceHackerのようなものを使用してそれを見ることができます。プロセスが開始すると、リソースセクションからドライバーが抽出されてインストールされると思います。
Windowsの実行可能ファイルには、特に「リソース」セクションが含まれている場合があります。これには、実行可能ファイルが実行時にアクセスできる任意のバイナリデータが含まれている可能性があります。
秘訣は、リンク時に他のすべての実行可能ファイル(たとえば、ドライバーのSYSファイル)をEXE内に配置することです。次に、実行時にEXEがこれをSYSファイルに抽出します。
次に、このドライバーをオンザフライでロードできます(SCマネージャーを使用)