Windows 设备驱动程序如何与进程监视器类似
进程监视器和资源管理器提供了一个EXE文件。 但其中包括一名司机-它在哪里 通过Windows内部构件 Process Monitor通过从其可执行文件中提取文件系统筛选器设备驱动程序来工作 映像Procmon.exe启动后第一次运行时,在内存中安装驱动程序,然后从磁盘中删除驱动程序映像 我想知道详细的机制。 有关于这个的代码吗?我在哪里可以找到它们。 或者你能给我解释一下吗。Windows 设备驱动程序如何与进程监视器类似,windows,device-driver,sysinternals,process-monitor,Windows,Device Driver,Sysinternals,Process Monitor,进程监视器和资源管理器提供了一个EXE文件。 但其中包括一名司机-它在哪里 通过Windows内部构件 Process Monitor通过从其可执行文件中提取文件系统筛选器设备驱动程序来工作 映像Procmon.exe启动后第一次运行时,在内存中安装驱动程序,然后从磁盘中删除驱动程序映像 我想知道详细的机制。 有关于这个的代码吗?我在哪里可以找到它们。 或者你能给我解释一下吗。 谢谢。上次我查看时,它只是作为资源嵌入到可执行文件中。你可以使用类似资源黑客的东西来查看它。我猜当进程启动时,它会从资
谢谢。上次我查看时,它只是作为资源嵌入到可执行文件中。你可以使用类似资源黑客的东西来查看它。我猜当进程启动时,它会从资源部分提取驱动程序并安装它。上次我查看时,它只是作为资源嵌入到可执行文件中。你可以使用类似资源黑客的东西来查看它。我猜当进程启动时,它会从资源部分提取驱动程序并安装它。Windows中的可执行文件可能包含资源部分的其他内容。它可以包含任何二进制数据,可执行文件可以在运行时访问这些数据 诀窍是在链接期间将整个其他可执行文件(例如驱动程序的SYS文件)放入一个EXE中。然后在运行时,EXE将其解压缩到SYS文件中
然后可以使用SC manager动态加载此驱动程序,Windows中的可执行文件可能包含资源部分中的其他内容。它可以包含任何二进制数据,可执行文件可以在运行时访问这些数据 诀窍是在链接期间将整个其他可执行文件(例如驱动程序的SYS文件)放入一个EXE中。然后在运行时,EXE将其解压缩到SYS文件中
然后可以使用SC manager动态加载此驱动程序。当进程启动时,它从资源部分提取驱动程序并安装它。但是我想知道更多的细节。它只是将驱动程序资源复制到一个临时文件中,然后通过临时文件将驱动程序加载到系统中。本杰明:什么细节?没什么特别的。它是以从任何其他可执行文件提取任何其他资源的方式提取的。一旦提取,它将像其他设备驱动程序一样安装。如果你想问其中一个步骤,你可能想问一个具体的问题。@Andrew谢谢Andrew。这就是我想知道的谢谢Luke。当进程启动时,它从资源部分提取驱动程序并安装它。但是我想知道更多的细节。它只是将驱动程序资源复制到一个临时文件中,然后通过临时文件将驱动程序加载到系统中。本杰明:什么细节?没什么特别的。它是以从任何其他可执行文件提取任何其他资源的方式提取的。一旦提取,它将像其他设备驱动程序一样安装。如果你想问其中一个步骤,你可能想问一个具体的问题。@Andrew谢谢Andrew。这就是我想知道的。