Windows驱动的加载顺序

最新推荐文章于 2023-11-09 10:33:53 发布
最新推荐文章于 2023-11-09 10:33:53 发布
阅读量2.4k 收藏 5
点赞数 1
分类专栏: RootKit Windows逆向 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109455216
版权
本文介绍了Windows驱动的加载顺序,包括Boot Start、System Start、AutoStart和Demand Start四种类型。驱动加载优先考虑启动类型,然后是群组优先级和Tag值。Rootkit通过注册为Boot启动类型驱动来抢占开机权限。当驱动启动类型相同,会比较群组GroupList和Tag值。系统启动慢可能暗示了驱动问题,提示用户关注最近的软件安装。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。在这里插入图片描述
Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。
2017年出现的Rootkit狼人杀就把自己注册成为Boot启动类型的驱动,从而与杀软的最早驱动(一般杀毒软件都有十几个驱动)争夺开机最先掌握主机的权限。
在这里插入图片描述
如果驱动的启动类型是一样的话,就会去比较驱动所在群组的优先级,如图Boot Bus

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux驱动程序的编译与加载机制
浩瀚之水的专栏
04-18 1269
​加载方式​工具/方法​适用场景静态编译进内核内核配置工具核心驱动、长期稳定运行动态加载模块开发调试、外设驱动、灵活部署自动加载udev 规则或启动脚本热插拔设备、开机自启建议:开发阶段优先使用动态模块加载(快速迭代),生产环境可结合自动加载机制。
Windows内核驱动EPROCESS遍历进程模块
12-14
Windows操作系统中,内核驱动程序是运行在操作系统核心层的代码,它们具有高级权限,可以直接访问硬件资源和系统服务。"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的...
重温-Window(NT)启动过程
编制者的专栏
03-04 821
 一.Windows系统构架1.先加载内核模式的各种管理服务和子系统,然后再加载用户模式的各种服务。2.用户模式的程序、服务通过NTDLL.DLL调用内核模式的各种系统功能3.硬件抽象层(HAL.DLL)提供了Windows系统对底层硬件统一、透明的访问     二。重要术语和注意事项1.系统卷(System Volume):包含了如下重要文件的
Windows启动阶段驱动程序加载顺序
wangjiabin2007的专栏
09-01 5438
驱动程序在注册表中键值的设置,可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type,Start,Tage,Group。其中Group,tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了,start类型应该就不用再多讲了。
驱动加载顺序
Lydia的博客
08-25 2437
第一阶段:系统加电自检POST过程。POST是Power On Self Test的缩写,也就是加电自检的意思,微机执行内存FFFF0H处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查。  第二阶段:读取DPT和MBR。当微机检查到硬件正常并与CMOS设置相符后,按照CMOS设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区表(DPT)和主引导记录(MBR)。 
windows驱动加载顺序
weixin_33709219的博客
06-13 1186
2019独角兽企业重金招聘Python工程师标准>>> ...
如何控制设备驱动程序的加载顺序 抢先DriverStudio夺取机器控制权 制作磁盘引导程序.zip
01-27
制作磁盘引导程序是控制驱动加载顺序的一个关键环节。引导程序是系统启动的第一部分,它负责加载操作系统内核和初始化硬件。通过自定义引导程序,我们可以决定哪些驱动程序在启动时优先加载。文件"再和DriverStudio...
掌握设备驱动加载顺序:优先级设置与磁盘引导制作
- 在BIOS/UEFI设置中调整启动项顺序,可以间接影响驱动加载顺序。 - 在操作系统层面,可以通过修改注册表项(例如在Windows系统中)来指定某些驱动程序优先加载。 - 使用特定的工具软件,比如本文档提及的Driver...
Windows驱动开发入门.pdf
09-30
Windows驱动开发中,开发者需要理解驱动的基本结构和工作原理,以及如何在Windows系统中集成和调试驱动。本文档提供了一个新手入门的指导,涵盖了驱动开发的一些关键概念和技术。 首先,驱动程序的核心是`...
Windows XP启动时驱动加载顺序调试
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 4184
Windows XP启动时驱动加载顺序调试: 说明:因为这里的调试采用的是针对IopLoadDriver下断的方法,无法调试到BOOT启动加载的驱动. ============================================================================= 操作系统版本:Windows XP Professional Version
加载新驱动的方法
qq_40179743的博客
03-23 2296
加载新驱动的方法(以字符驱动为例) 1. 将驱动编译进内核(方法一) 将新驱动文件放入字符驱动对应的目录下,然后更改该目录下的Kconfig和Makefile文件: Kconfig添加config选项,参照已有驱动格式添加。 config TELCLOCK tristate "Telecom clock driver for ATCA SBC" depends on EXPERIMENTAL && X86 default n help The telecom clock
加载驱动的三个方法
热门推荐
BestQiang的博客
03-31 1万+
1.Class.forName(“com.microsoft.sqlserver.jdbc.SQLServerDriver”); 2. DriverManager.registerDriver(new com.mysql.jdbc.Driver()); 3.System.setProperty(“jdbc.drivers”, “com.mysql.jdbc.Driver”); ...
linux kernel各驱动的启动顺序
anzhuangguai的专栏
12-26 994
http://blog.csdn.net/lijiuliang/article/details/8068629
WINDOWS操作驱动学习 带服务加载驱动
weixin_30872499的博客
08-21 320
可以用这个工具查看 驱动运行负荷 如果内核模式运行时间陡然上升 则说明驱动程序消耗了大量的内核资源 windows 2000 通过 int 2eh winodws XP 通过 sysenter 进入内核模式 Native API 通过 软件中断方式进入到内核模式 并调用内核的系统服务 执行程序组件: 1对象管理程序 ...
WDM驱动加载的实现(1)
hou09tian的博客
12-22 2401
1 WDM驱动加载方式 WDM是Windows DriverModal的简写,叫做Windows驱动模型。该驱动的加载需要通过INF文件实现。INF文件指的是后缀名是INF的文件,该文件叫做安装信息文件,是Windows系统支持的一种存放安装信息的文件。 可以通过“控制面板->添加硬件”实现手动加载驱动。但是手动加载驱动操作繁琐而且容易出错,而通过软件实现驱动的一键自动加载相比手动加载要方便的
驱动程序加载顺序
沧浪之水
05-28 898
驱动程序开发时,常需要为驱动程序分配相关的资源,这些资源的分配一般在XXX_Init函数或者XXX_Open函数中完成。XXX_Init是在加载驱动时由系统自动调用的,由这个函数分配的资源在XXX_Deinit函数释放,XXX_Deinit函数是在驱动卸载时由系统自动调用的。XXX_Open是在应用程序调用CreateFile函数时系统自动调用的,由这个函数分配的资源应该在XXX_Close函数
加载windows驱动的几种方式
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 2200
windows api加载驱动的几种方式:
Linux 驱动学习静态加载与动态加载详解
最新发布
weixin_40642038的博客
11-09 1845
1、静态加载和动态加载静态加载:静态加载就是把驱动程序直接编译进内核,系统启动后可以直接调用。静态加载的缺点是调试起来比较麻烦,每次修改一个地方都要重新编译和下载内核,效率较低。若采用静态加载的驱动较多,会导致内核容量很大,浪费存储空间;动态加载:动态加载利用了Linux的module特性,可以在系统启动后用insmod命令添加模块(.ko),在不需要的时候用rmmod命令卸载模块,采用这种动态加载的方式便于驱动程序的调试,同时可以针对产品的功能需求,进行内核的裁剪,将不需要的驱动去除,大大减小了内核的存储
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值