设备驱动程序如何像Process Monitor一样成为EXE

Question

Process Monitor 和 Explorer 提供了一个 EXE 文件。 但他们包括一名司机。 -它在哪里。

通过 Windows 内部结构，

进程监视器的工作原理是从其可执行文件中提取文件系统过滤器设备驱动程序 启动后第一次运行它的映像（Procmon.exe），将驱动程序安装在内存中，然后从磁盘中删除驱动程序映像。

我想知道详细机制。
有一些关于这方面的代码吗？我在哪里可以找到它们。
或者你能给我解释一下吗？
谢谢。

Answer 1

上次我查看时，它只是作为资源嵌入到可执行文件中。您可以使用 Resource Hacker 之类的工具来查看它。我想当进程启动时，它会从资源部分提取驱动程序并安装它。

Answer 2

Windows 中的可执行文件可能包含“资源”部分等内容。它可以包含可执行文件可以在运行时访问的任何二进制数据。

诀窍是在链接期间将整个其他可执行文件（例如驱动程序的 SYS 文件）放入 EXE 中。然后在运行时 EXE 将其提取到 SYS 文件中。

然后可以动态加载该驱动程序（使用 SC 管理器）