4Aug

Jak zjistíte datum "poslední změny" pro služby v systému Windows?

click fraud protection

Pokud máte kompromitovaný systém Windows a chcete analyzovat, kdy byly služby nainstalovány nebo upraveny, jak to děláte? Dnešní zpráva SuperUser Q & A má odpovědi na otázku zvědavé čtenáře.

dnešní otázka &Odpověď na zasedání se k nám dostala s laskavým svolením SuperUser - podřízenou výměnou Stack Exchange, skupině webů Q & A založených na komunitě.

Poznámkový blok obrazovky s laskavým svolením Flyk( SuperUser).

Otázka Otázka

Reader SuperUser Lucas Kauffman chce vědět, jak najít Datum vytvoření ( nebo Poslední změněný datum ) pro služby v systému Windows:

Pokud máte kompromitovaný operační systém, který se pokoušíte analyzovat pro nově nainstalované službynebo když byly služby nainstalovány, jak to děláte? Kde mohu najít datum vytvoření pro konkrétní službu v registru systému Windows?

Jak zjistíte datum vytvoření nebo poslední změněný datum pro služby v systému Windows?

Odpovědí odpovědí pro uživatele

SuperUser Flyk a Andrew Medico. První, Flyk:

instagram viewer

Neexistuje žádný způsob, jak určit datum vytvoření pro konkrétní službu Windows, protože jak applet služby, tak registr systému Windows neukládají data související s vytvořením.

Existuje však poslední změněný datum , který je skrytý mimo zobrazení( dokonce i v editoru registru systému Windows), ale lze jej přistupovat pomocí RegQueryInfoKey. Vzhledem k tomu, že všechny služby Windows jsou uloženy v registru, můžete zkontrolovat poslední změněné datum proti klíče registru související s dotyčnou službou vyhledáním HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .

Alternativně, pokud exportujete klíče registru, které chcete získat jako textový soubor, uvidíte poslední změněný datum pro každý klíč zapsaný v textovém souboru.

Konečně, řešení s PowerShell vrátit poslední změněný datum již bylo projednáno na přetečení zásobníku.

Následuje odpověď od společnosti Andrew Medico:

Počínaje službou Vista je zaznamenána tvorba služby do protokolu událostí systému v rámci Event Manager 7045 .

Například následující příkaz:

Vyrobeno následující záznam protokolu událostí:

Musíte něco přidat k vysvětlení?Zní to v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.