我正在编写一些检测用例,通过 Windows 事件日志搜索可疑的 Windows 服务,我试图在 7045 个事件中找到与 4697 个服务类型标志相对应的服务类型字段的所有值,但是我找不到任何关于此的明确文档。
我的意思是,在事件 7045 中,服务类型写为“内核模式驱动程序”,这对应于事件 4697 的服务类型标志“0x1”。有人知道是否有关于 7045 其余服务类型的在线文档吗?
答案1
您可以在 ServiceType 枚举:
| 适配器 | 4 | 针对需要自己的驱动程序的硬件设备的服务。 |
|---|---|---|
| 文件系统驱动程序 | 2 | 文件系统驱动程序,也是内核设备驱动程序。 |
| 交互过程 | 256 | 可以与桌面通信的服务。 |
| 内核驱动程序 | 1 | 内核设备驱动程序,例如硬盘或其他低级硬件设备驱动程序。 |
| 识别器驱动程序 | 8 | 启动期间使用的文件系统驱动程序,用于确定系统上存在的文件系统。 |
| Win32Own进程 | 16 | 可由服务控制器启动并遵守服务控制协议的 Win32 程序。此类 Win32 服务在自身进程中运行。 |
| Win32共享进程 | 三十二 | 可以与其他 Win32 服务共享进程的 Win32 服务。 |
请注意,此枚举支持其成员值的按位组合。