4Aug

Hvordan finder du 'Senest ændret' dato for tjenester i Windows?

click fraud protection

Hvis du har et kompromitteret Windows-system og vil analysere, hvornår tjenester blev installeret eller ændret, hvordan gør du det? Dagens SuperUser Q & A-indlæg har svarene på en nysgerrig læsers spørgsmål.

Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drevet gruppe af Q & A-websteder.

Notepad screenshot med tilladelse fra Flyk( SuperUser).

Spørgsmål

SuperUser-læser Lucas Kauffman ønsker at vide, hvordan man finder -oprettelsesdato ( eller Senest ændret dato ) for tjenester i Windows:

Hvis du har et kompromitteret operativsystem, som du forsøger at analysere for nyinstallerede tjenestereller når tjenester blev installeret, hvordan gør du det? Hvor kan jeg finde -oprettelsesdatoen for en bestemt tjeneste i Windows-registreringsdatabasen?

Hvordan finder du -oprettelsesdato eller Senest ændret dato for tjenester i Windows?

Svaret

SuperUser bidragsydere Flyk og Andrew Medico har svaret for os. Først op, Flyk:

instagram viewer

Der er ingen måde at bestemme -oprettelsesdatoen til en bestemt Windows-tjeneste, da både applets og Windows-registreringsdatabasen ikke gemmer datoer relateret til oprettelsen.

Der er dog et sidste ændret dato , der er skjult væk fra visning( selv i Windows-registreringseditoren), men det kan fås ved hjælp af RegQueryInfoKey. Da alle Windows-tjenester er gemt i registreringsdatabasen, kan du tjekke Senest ændret dato mod registreringsdatabasenøglerne relateret til den pågældende tjeneste ved at kigge i HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .

Alternativt, hvis du eksporterer registreringsnøglerne, du vil have oplysninger om som tekstfil, vil du se Senest ændret dato for hver nøgle er skrevet i tekstfilen.

Endelig er en løsning, der bruger PowerShell til at returnere Senest ændret dato , allerede diskuteret på Stack Overflow.

Efterfulgt af svaret fra Andrew Medico:

Begynder med Vista, oprettes serviceoprettelsen til System Event Log under Service Control Manager Event ID 7045 .

F.eks. Følgende kommando:

Producerede følgende hændelseslogbog:

Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.