Process Monitor 和 Explorer 提供了一个 EXE 文件。 但他们包括一名司机。 -它在哪里。
由 Windows Internals 提供,
Process Monitor works by extracting a file system filter device driver from its executable image (Procmon.exe) the first time you run it after a boot, installing the driver in memory, and then deleting the driver image from disk.
我想知道详细的机制。
有一些代码吗?我在哪里可以找到它们。
或者你能给我解释一下吗?
谢谢。
最佳答案
上次我看到它只是作为资源嵌入到可执行文件中。您可以使用 Resource Hacker 之类的工具来查看它。我猜当进程启动时,它会从资源部分提取驱动程序并安装它。
关于windows - 设备驱动程序如何像Process Monitor一样成为EXE,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3939136/