设备驱动程序如何像进程监视器一样成为 EXE答案

【问题标题】：How can a device driver be EXE like Process Monitor设备驱动程序如何像进程监视器一样成为 EXE
【发布时间】：2010-10-15 02:47:45
【问题描述】：

进程监视器和资源管理器提供一个 EXE 文件。但他们包括一名司机。 -它在哪里。

由 Windows 内部人员提供，

进程监视器通过从其可执行文件中提取文件系统过滤设备驱动程序来工作启动后第一次运行映像 (Procmon.exe)，在内存中安装驱动程序，然后从磁盘中删除驱动程序映像。

我想知道详细的机制。
有一些关于那个的代码吗？我在哪里可以找到它们。
或者你能给我解释一下吗。
谢谢。

【问题讨论】：

【解决方案1】：

上次我查看它只是作为资源嵌入到可执行文件中。你可以使用 Resource Hacker 之类的东西来查看它。我猜当进程启动时，它会从资源部分提取驱动程序并安装它。

【讨论】：

谢谢卢克。 当进程启动时，它会从资源部分提取驱动程序并安装它。但我想了解更多关于此的详细信息。
它只是将驱动程序资源复制到临时文件中，然后通过临时文件将驱动程序加载到系统中。没什么特别的。
@Benjamin：什么细节？它没有什么特别之处。它的提取方式与从任何其他可执行文件中提取任何其他资源的方式相同。提取后，它会像安装任何其他设备驱动程序一样安装。如果您想询问其中一个步骤，您可能需要专门询问有关该步骤的问题。
@Andrew 谢谢安德鲁。这就是我想知道的。

【解决方案2】：

Windows 中的可执行文件可能包含“资源”部分。它可以包含任何二进制数据，可执行文件可以在运行时访问。

诀窍是在链接期间将整个其他可执行文件（例如驱动程序的 SYS 文件）放入 EXE 中。然后在运行时 EXE 将其提取到一个 SYS 文件中。

然后可以动态加载此驱动程序（使用 SC-manager）

【讨论】：