Die PID ist eine Prozeß -ID. Dienste sind jedoch m.E. nicht mit dieser gleichzusetzen. Auf meinem Windows XP z.B. ist fünfmal die svchost.exe gestartet worden, also gibt es sie unter fünf verschiedenen IDs. Es sind jedoch wesentlich mehr Dienste, die auf diese Datei zurückgehen, gestartet worden.
Dienste können seit Windows 2000 als DLLs implementiert werden und werden dann in der Tat "gehostet". Denn bekanntlich wird eine
DLL normalerweise in einen existierenden Prozeß geladen.
EnumServicesStatusEx enumeriert ja alle Dienste. Darunter sind aber auch welche, die zur Zeit nicht gestartet sind und somit keine PID haben.
Bingo!
UserMode-Treiber und KernelMode-Treiber?
Werden die im KernelMode da auch aufgelistet? [edit2] SERVICE_KERNEL_DRIVER sagt ja.
Die werden ja außerhalb des UserMode-Systems ausgeführt und dort gibt es "diese" PID eventuell nicht.
Treiber werden über die gleichen APIs wie Dienste installiert und gewartet. Das ist also theoretisch eine sehr sinnvolle Annahme.
Es gibt zwar PIDs auch kernelseitig, aber die sind von der Sache her irrelevant. Außerdem ist der Windows-(NT-)Kernel monolithisch und (Kernel-)Treiber werden ähnlich wie DLLs in den gleichen Adreßraum geladen. Daher könnten Treiber maximal mit der PID vom Pseudoprozeß "System" gezeigt werden.
Und ja, es gibt da noch ein relevantes Privileg: TCB.