设备驱动程序的ImagePath

Question

我总是直接设置驱动程序 Imagepath。(C:\Windows\System32\drivers\abc.sys)

但我只知道许多设备驱动程序将其 ImagePath 设置为 %SystemRoot%\system32\svchost.exe -k netsvcs

这是 Lanmanworkstation 驱动程序的注册表配置单元。
我猜Lanmanworkstation驱动程序的镜像文件是mrxsmb.sys
但他们没有放置“System32\drivers\mrxsmb.sys”。为什么。

svchost.exe -k netsvcs 是什么意思？
即使没有确定的路径，StartService 功能也能正常工作。
服务管理器（？我不确定）如何找到驱动程序的图像路径？

使用这个有什么好处吗？
如果我决定使用这种方式，我的驱动程序代码是否需要修改？

Answer 1

您对设备驱动程序和服务感到困惑。
svchost.exe 用于在多个服务之间共享同一进程。该实现是 Windows 内部的，因此不支持在 Windows 外部使用。

如果您编写设备驱动程序（用于硬件或过滤器驱动程序）或不为 Microsoft 工作，则无法使用 svchost。

造成混乱的原因是旧式 (NT4)、非即插即用驱动程序可以使用服务控制管理器 API 启动。

Answer 2

svchost 是其他服务的主机进程，包含在 DLL 中。 “-k”后面的部分表示服务组。您可以在 ServiceDll 值中的 HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters 中找到服务 DLL 路径。我猜测如果删除图像路径它仍然可以正确启动的原因是因为服务类型设置为 SERVICE_WIN32_SHARE_PROCESS ，并且 SCM 可能会忽略图像路径（对此不确定）。

Answer 3

svchost.exe是一个“多用途”服务。它将多个服务合并在一个 exe 文件中，每个服务都可以使用服务管理控制台等进行单独控制。 svchost.exe 的参数指明了 exe 文件内的“子服务”。

由于 startService() 不是服务本身的控制消息，而只是启动某个可执行文件的请求（该可执行文件本身必须“知道”它是一个服务（以及该服务），然后向服务控制管理器注册）， windows 将简单地执行 ImagePath 指向的二进制文件。

在本例中（LanManWorkstation），该二进制文件是svchost.exe，为其提供的参数是-k netsvc。这让 svchost.exe 知道应该启动它提供的众多服务中的哪一个。

与往常一样，二进制文件本身不需要包含所有函数，但也可以加载其他库。 mrxsmb.sys 很可能就是这样一个库，尽管我不确定这一点。

所以这个答案更多的是“它一般是如何工作的”而不是“是的，netsvc 和 mrxsmb.sys 是 LanManWorkstation”。