我们如何检测 Windows 服务是否被删除，是否有其事件日志 ID？

Question 1

抱歉，服务删除的记录方式似乎与服务的创建记录方式不同。

我跑了：

sc create DummySvc binPath="C:\Windows\System32\Notepad.exe"
sc delete DummySvc

系统事件日志在创建时记录了事件 ID 7045：

A service was installed in the system.

Service Name:  DummySvc
Service File Name:  C:\Windows\System32\Notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem

但删除后没有记录类似事件。

Answer

抱歉，服务删除的记录方式似乎与服务的创建记录方式不同。

我跑了：

sc create DummySvc binPath="C:\Windows\System32\Notepad.exe"
sc delete DummySvc

系统事件日志在创建时记录了事件 ID 7045：

A service was installed in the system.

Service Name:  DummySvc
Service File Name:  C:\Windows\System32\Notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem

但删除后没有记录类似事件。

Question 2

sc query [servicename]

如果已安装服务则返回%errorcode%0，如果服务不存在则返回 1060。

如果您不希望用户删除服务，则需要删除该用户的权限。

Answer

sc query [servicename]

如果已安装服务则返回%errorcode%0，如果服务不存在则返回 1060。

如果您不希望用户删除服务，则需要删除该用户的权限。

我们如何检测 Windows 服务是否被删除，是否有其事件日志 ID？

答案1

答案2

相关内容