4Aug
Hvis du har et kompromitteret Windows-system og vil analysere, hvornår tjenester blev installeret eller ændret, hvordan gør du det? Dagens SuperUser Q & A-indlæg har svarene på en nysgerrig læsers spørgsmål.
Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drevet gruppe af Q & A-websteder.
Notepad screenshot med tilladelse fra Flyk( SuperUser).
Spørgsmål
SuperUser-læser Lucas Kauffman ønsker at vide, hvordan man finder -oprettelsesdato ( eller Senest ændret dato ) for tjenester i Windows:
Hvis du har et kompromitteret operativsystem, som du forsøger at analysere for nyinstallerede tjenestereller når tjenester blev installeret, hvordan gør du det? Hvor kan jeg finde -oprettelsesdatoen for en bestemt tjeneste i Windows-registreringsdatabasen?
Hvordan finder du -oprettelsesdato eller Senest ændret dato for tjenester i Windows?
Svaret
SuperUser bidragsydere Flyk og Andrew Medico har svaret for os. Først op, Flyk:
Der er ingen måde at bestemme -oprettelsesdatoen til en bestemt Windows-tjeneste, da både applets og Windows-registreringsdatabasen ikke gemmer datoer relateret til oprettelsen.
Der er dog et sidste ændret dato , der er skjult væk fra visning( selv i Windows-registreringseditoren), men det kan fås ved hjælp af RegQueryInfoKey. Da alle Windows-tjenester er gemt i registreringsdatabasen, kan du tjekke Senest ændret dato mod registreringsdatabasenøglerne relateret til den pågældende tjeneste ved at kigge i HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternativt, hvis du eksporterer registreringsnøglerne, du vil have oplysninger om som tekstfil, vil du se Senest ændret dato for hver nøgle er skrevet i tekstfilen.
Endelig er en løsning, der bruger PowerShell til at returnere Senest ændret dato , allerede diskuteret på Stack Overflow.
Efterfulgt af svaret fra Andrew Medico:
Begynder med Vista, oprettes serviceoprettelsen til System Event Log under Service Control Manager Event ID 7045 .
F.eks. Følgende kommando:
Producerede følgende hændelseslogbog:
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.