Какой процесс пишет лог о загрузке драйвера в system.evtx? есть пока два предположения: services.exe и svchost.exe(wevtsvc.dll) в svchost.exe есть открытый хэндл system.evtx, но возможно туда пишет и services.exe (отладчик инфу о процессе получить не может: access denied)
Создается такое впечатление что логирование может вестить сразу из нескольких мест и разными способами
vx1d, > отладчик инфу о процессе получить не может: access denied Стерилизуй, прежде чем использовать.
с помощью ProcessMonitora удалось выяснить что лог пишет wevtsvc.dll в ядре вызывается обработчик FASTIO_WRITE запись идет в system.evtx --- Сообщение объединено, 2 авг 2019 --- Причем наблюдал такую ситуацию что лог в eventviewere появлялся раньше, чем запись на диск в файл system.evtx, возможно сначала запись идет в какую-нибудь секцию памяти из которой читает eventviewer, а потом когда накопится буфер достаточной длины, сбрасывается на диск
