Как драйвер устройства может быть EXE-файла, как Process Monitor

Question

Process Monitor и Explorer поставляются в виде EXE-файла.Но они включают в себя водителя.* Где это.

В Windows Internals

Process Monitor работает путем извлечения драйвера устройства фильтрации файловой системы из исполняемого образа (Procmon.exe) при первом запуске.после загрузки установите драйвер в память, а затем удалите образ драйвера с диска.

Я хотел бы знать механизм детализации.
Есть ли какие-либо коды по этому поводу?Где я могу их найти.
Или не могли бы вы мне это объяснить.
Спасибо.

Answer 1

В прошлый раз, когда я смотрел, он был просто встроен в исполняемый файл как ресурс. Вы можете использовать что-то вроде Resource Hacker, чтобы увидеть это. Я предполагаю, что при запуске процесса он извлекает драйвер из раздела ресурсов и устанавливает его.

Answer 2

Исполняемый файл в Windows может содержать среди прочего раздел «ресурс». Он может содержать любые двоичные данные, к которым исполняемый файл может обращаться во время выполнения.

Хитрость заключается в том, чтобы поместить весь другой исполняемый файл (например, файл SYS драйвера) в EXE-файл во время соединения. Затем во время выполнения EXE извлеките это в файл SYS.

Тогда этот драйвер может быть загружен на лету (с помощью SC-менеджера)