Windows驱动的加载顺序

最新推荐文章于 2023-11-09 10:33:53 发布
最新推荐文章于 2023-11-09 10:33:53 发布
阅读量2.2k 收藏 4
点赞数 1
分类专栏: RootKit Windows逆向 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109455216
版权

在这里插入图片描述
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。在这里插入图片描述
Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。
2017年出现的Rootkit狼人杀就把自己注册成为Boot启动类型的驱动,从而与杀软的最早驱动(一般杀毒软件都有十几个驱动)争夺开机最先掌握主机的权限。
在这里插入图片描述
如果驱动的启动类型是一样的话,就会去比较驱动所在群组的优先级,如图Boot Bus Extednder是一种系统自带的优先级比较高的群组。最后驱动的群组甚至都是一样的,就会比较驱动的Tag值。
所以总体驱动加载顺序是按照 启动类型——群组GroupList——Tag值 的顺序进行比较的。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Windows驱动程序的分类
沉默之狼的专栏
03-22 4013
有两类Windows驱动程序: 用户态驱动程序 运行在用户态,它们经常提供Win32程序、核心态驱动(或其它系统组件)之间的接口。比如打印机驱动就是由用户态和核心态驱动组成的。 核心态驱动程序 运行在核心态,由核心态系统组件组成。核心态驱动程序大多是分层的。通常,高层驱动从应用程序接收、筛选数据,并将它们送给支持设备功能的更低层驱动。 有些核
Windows内核驱动EPROCESS遍历进程模块
12-14
Windows操作系统中,内核驱动程序是运行在操作系统核心层的代码,它们具有高级权限,可以直接访问硬件资源和系统服务。"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的...
驱动加载顺序
Lydia的博客
08-25 2310
第一阶段:系统加电自检POST过程。POST是Power On Self Test的缩写,也就是加电自检的意思,微机执行内存FFFF0H处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查。  第二阶段:读取DPT和MBR。当微机检查到硬件正常并与CMOS设置相符后,按照CMOS设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区表(DPT)和主引导记录(MBR)。 
Windows XP启动时驱动加载顺序调试
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 4102
Windows XP启动时驱动加载顺序调试: 说明:因为这里的调试采用的是针对IopLoadDriver下断的方法,无法调试到BOOT启动加载驱动. ============================================================================= 操作系统版本:Windows XP Professional Version
Windows启动阶段驱动程序加载顺序
wangjiabin2007的专栏
09-01 5015
驱动程序在注册表中键值的设置,可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type,Start,Tage,Group。其中Group,tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了,start类型应该就不用再多讲了。
Linux 驱动学习静态加载与动态加载详解
最新发布
weixin_40642038的博客
11-09 1488
1、静态加载和动态加载静态加载:静态加载就是把驱动程序直接编译进内核,系统启动后可以直接调用。静态加载的缺点是调试起来比较麻烦,每次修改一个地方都要重新编译和下载内核,效率较低。若采用静态加载驱动较多,会导致内核容量很大,浪费存储空间;动态加载:动态加载利用了Linux的module特性,可以在系统启动后用insmod命令添加模块(.ko),在不需要的时候用rmmod命令卸载模块,采用这种动态加载的方式便于驱动程序的调试,同时可以针对产品的功能需求,进行内核的裁剪,将不需要的驱动去除,大大减小了内核的存储
实现驱动最早启动
qq_41490873的博客
08-21 754
内核驱动加载顺序 内核的驱动是分组的,系统启动时是根据组来加载的. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 这个注册表项记录了组的启动顺序,可以从下图看出最早启动的组是System Reserved HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList 此注册表项记录了每一个组内不同服务的启动顺序 要让我们的驱动实现最早启动,
如何控制设备驱动程序的加载顺序 抢先DriverStudio夺取机器控制权 制作磁盘引导程序.zip
01-27
制作磁盘引导程序是控制驱动加载顺序的一个关键环节。引导程序是系统启动的第一部分,它负责加载操作系统内核和初始化硬件。通过自定义引导程序,我们可以决定哪些驱动程序在启动时优先加载。文件"再和DriverStudio...
Windows驱动开发入门.pdf
09-30
Windows驱动开发中,开发者需要理解驱动的基本结构和工作原理,以及如何在Windows系统中集成和调试驱动。本文档提供了一个新手入门的指导,涵盖了驱动开发的一些关键概念和技术。 首先,驱动程序的核心是`...
belkin 无线网卡F7D1101V2 windows10驱动
07-06
6. netr28ux.PNF:这是INF文件的缓存副本,帮助系统快速识别和加载驱动。 7. netr28ux.sys:这是实际的无线网卡驱动程序文件,它包含了一组指令,使得操作系统能够与硬件进行通信。 安装过程通常如下: 1. 首先,...
H310阵列卡的windows 2008R2驱动
12-20
要在Windows 2008 R2上安装Dell H310阵列卡驱动,首先需要从Dell官方网站或提供的压缩包文件中获取适用于该操作系统的驱动程序。"H310 2008 R2"这个文件名很可能就是驱动程序的安装包。下载后,可以通过设备管理器...
windows api加载驱动的几种方式
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 865
windows api加载驱动的几种方式:
windows驱动编程学习顺序?
学而不思则罔
11-19 521
<br />内核驱动编程并不是什么高深的知识,无非也是按照系统的API,框架去做代码罢了,只是这些东西,提供了更接近于底层的功能,在某些情况下对程序的构架更加有利效率更高而已。没有创新性的东西是无所谓难度不难度的,照葫芦画瓢而已。 从哪里学起,基本路线 语言-》算法-》框架机制&WINDOWS程序-》系统内核实现等。 下面说的一些内容都有一个共同的前提,就是不断的去写代码,调试代码,否则说什么也是白搭的。我曾经一个操作系统的老师的一句话是“看了书叫你做,做不出来就是没学懂” 第一个阶段:鉴于你现在已
加载驱动的三个方法
热门推荐
BestQiang的博客
03-31 1万+
1.Class.forName(“com.microsoft.sqlserver.jdbc.SQLServerDriver”); 2. DriverManager.registerDriver(new com.mysql.jdbc.Driver()); 3.System.setProperty(“jdbc.drivers”, “com.mysql.jdbc.Driver”); ...
windows驱动加载顺序
weixin_33709219的博客
06-13 1120
2019独角兽企业重金招聘Python工程师标准>>> ...
驱动程序的加载方式
浩瀚之水的专栏
04-18 1198
Linux设备驱动程序有两种加载方式。第一种是直接编译进Linux内核,在Linux启动时加载;第二种是采用内核模块方式,利用模块可动态加载。 如果希望将新驱动程序编译进内核,需要修改内核代码和编译选项。下面以字符型设备为例,说明如何在Linux 2.6内核中添加一个新的设备驱动程序。如果驱动程序代码源文件为infrared_s3c2410.c,将infrared_s3c2410.c复制到内
驱动程序加载顺序
沧浪之水
05-28 848
驱动程序开发时,常需要为驱动程序分配相关的资源,这些资源的分配一般在XXX_Init函数或者XXX_Open函数中完成。XXX_Init是在加载驱动时由系统自动调用的,由这个函数分配的资源在XXX_Deinit函数释放,XXX_Deinit函数是在驱动卸载时由系统自动调用的。XXX_Open是在应用程序调用CreateFile函数时系统自动调用的,由这个函数分配的资源应该在XXX_Close函数
简要分析Windows驱动加载
faithzzf的专栏
05-12 7526
一般windows驱动加载一是通过inf文件或者命令行sc命令动态加载驱动,二是通过系统启动的时候加载。那么windows内核是如何加载驱动呢? 我通过简要分析 ReactOS 系统源码可以看到加载过程。通过简要分析加载过程,可以加深驱动程序的理解,我们也可以通过windbg或者hook驱动加载 函数,去监控我们的系统安装了哪些驱动程序。          我自己以系统启动session管
wince注册表与驱动加载(转载)
gooogleman#foxmail.com
10-29 6430
9.1.4  加载设备驱动所需要的接口设备管理器是如何加载驱动程序的呢?这里用到了一个重要的函数ActivateDeviceEx。ActivateDeviceEx是指:n     由设备管理器,也就是Device.exe来加载设备驱动;n     注册表枚举时,用这个函数来读取启动时应当加载驱动程序信息;n     ActivateDeviceEx将使用注册表中的Dll,Pr
windows驱动加载工具drivermonitor
06-30
### 回答1: DriverMonitor是一款用于Windows操作系统的驱动加载工具。它的主要功能是监控和管理系统中的驱动程序加载过程。 首先,DriverMonitor可以实时监测系统中的驱动加载情况。它能够记录并显示每个驱动程序的加载时间、加载状态和加载顺序。这对于排查系统启动和运行过程中的驱动问题非常有帮助。 其次,DriverMonitor可以提供驱动程序的详细信息。用户可以通过DriverMonitor查看每个驱动程序的版本号、制造商、文件路径等信息,这些信息对于识别和更新驱动程序非常重要。 此外,DriverMonitor还支持用户对驱动程序进行管理。用户可以选择禁用或启用某个驱动程序,以便测试该驱动是否对系统稳定性产生影响。同时,DriverMonitor还提供卸载驱动程序的功能,并在卸载时进行完整的清理,以确保系统的安全和稳定。 最后,DriverMonitor还具有一些辅助功能。它可以生成驱动程序加载报告,用户可以将报告导出并保存,以便日后分析和分享。此外,DriverMonitor还提供了驱动程序的更新提示功能,当有新版本的驱动程序可用时,它会提醒用户及时更新,从而保持系统的性能和安全。 总之,DriverMonitor是一款功能强大的Windows驱动加载工具,能够帮助用户监控、管理和优化系统中的驱动程序,提升系统的稳定性和性能。它对于驱动程序问题的排查和解决非常有帮助,是一款值得推荐的工具。 ### 回答2: DriverMonitor是一种用于Windows操作系统的驱动加载工具。它可以用于监控和管理计算机系统中的驱动程序加载和卸载过程。使用DriverMonitor,用户可以追踪哪些驱动程序正在加载和卸载,以及它们的相关信息。 驱动程序是用于控制和管理计算机硬件设备的软件模块。在Windows系统中,驱动程序的加载和卸载是一个非常重要的过程。正确加载和管理驱动程序可以提高系统的稳定性和性能。 DriverMonitor可以通过实时监测系统中的驱动加载和卸载过程,帮助用户识别问题驱动程序。当一个驱动程序加载失败或者卸载不完全时,可能会导致系统出现错误、崩溃或性能下降的问题。使用DriverMonitor,用户可以迅速定位并解决这些问题,提高系统的稳定性。 此外,DriverMonitor还提供了驱动程序的详细信息,如文件路径、版本号等。用户可以通过查看这些信息来了解每个驱动程序的功能和用途。这对于计算机技术支持人员或系统管理员来说非常有用,可以帮助他们更好地理解和管理系统中的驱动程序。 总之,DriverMonitor是一款功能强大且易于使用的Windows驱动加载工具。它可以帮助用户监控和管理系统中的驱动加载和卸载过程,提高系统的稳定性和性能。无论是普通用户还是计算机技术专业人员,都可以从中受益,并更好地理解和管理系统中的驱动程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值