pe 如何加载驱动 pe加载驱动的方法

1、加载驱动的基本概念

PE (Portable Executable) 是 Windows 操作系统中可执行文件标准格式，简单来说就是 DLL 或者 EXE 文件。在 Windows 操作系统中，如果想要使用驱动，就必须先将驱动加载到 PE 里。这个过程是指在系统内存中将驱动程序加载到相应的内存位置，并定义并创建跟驱动相关的内核对象

2、PE加载驱动的流程

PE 加载驱动的过程主要包括：

1）从磁盘中找到驱动的文件，并将其映射到内存中；

2）通过解析文件头等信息，将驱动的各个组成部分加载到内存中；

3）解析驱动的入口点，执行驱动的初始化工作；

4）创建相关的数据结构，设定调度器（这里不做详细介绍）；

5）调度核心线程，启动驱动。

3、PE加载驱动的方法

PE 加载驱动的方法有几种：

1）ScGetDriverName和ScGetImageName函数加载驱动：在 PE 中，ScGetDriverName 和 ScGetImageName 都是可选的，在启动服务时，可以通过修改函数指针实现这两个函数的替换，从而加载不同的驱动。

2）使用 LoadLibrary 函数加载驱动：LoadLibrary 函数是 PE 常用的 DLL 加载函数，而驱动可以视为一种特殊的 DLL，所以可以通过这种方式在 PE 中加载驱动。

3）使用设备管理器加载驱动：在设备管理器中加载驱动时，Windows 会先将驱动的相关信息存储到注册表中，然后就可以使用不同的方式在 PE 中加载驱动。

4、PE加载驱动的关键注意点

在加载驱动的过程中，需要注意以下几点：

1）驱动必须是已签名的才能在 Windows 上运行。因为驱动涉及到系统内核，为确保系统的安全性，微软保护了驱动加载这一环节，只允许已签名的驱动运行。

2）驱动文件的路径应该放在名为system32的文件夹中，而不应该放在其他任何位置。

3）驱动的版本信息和 Windows 操作系统的版本信息必须一致。

4）注入驱动程序的代码要改变读写权限，否则无法注入成功。