Trường hợp Windows tải mã cho các dịch vụ không có hình ảnh?

Tôi đã có một loạt các dịch vụ theo mẫu:

R3 NDProxy;NDIS Proxy; [x]
R3 Ntfs;Ntfs; [x]
R1 Null;Null; [x]

Trường hợp thông thường giá trị sau dấu chấm phẩy sẽ là nhóm svchost (nếu có) và được tải nhị phân cho tệp đang đề cập, chẳng hạn như

R2 nsi;Network Store Interface Service;LocalService->C:\Windows\System32\Nsisvc.dll [25600 2009-07-13 23:21:21 Microsoft Corporation]

Tôi đã loại trừ một lỗi trong mã của mình bằng cách kiểm tra xem Windows có làm gì bên trong không (nghĩa là có sc.exe queryexhoặc các công cụ tương tự và nhìn vào đường dẫn hình ảnh).

Làm thế nào để Windows tìm mã để tải cho những thứ này?

Các ví dụ bạn liệt kê không phải là dịch vụ mà là trình điều khiển . Mặc dù chúng được quản lý bởi cùng Trình quản lý điều khiển dịch vụ, trình điều khiển được tải từ *.syshình ảnh bằng cách sử dụng ScLoadDeviceDriver()và chạy trong không gian kernel.

Nếu không ImagePathđược đưa ra, đường dẫn mặc định là , chẳng hạn như .%SystemRoot%\System32\Drivers\<name>.sysC:\WINDOWS\System32\Drivers\null.sys

Điều này được ghi lại trong Microsoft KB103000 "Các mục nhập khóa con của dịch vụ hiện tại" , dưới ImagePath và Type .