4Aug
Wenn Sie ein kompromittiertes Windows-System haben und analysieren möchten, wann Dienste installiert oder geändert wurden, wie machen Sie das? Der heutige SuperUser Q & A Post hat die Antworten auf die Frage eines neugierigen Lesers.
Die heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Notepad screenshot mit freundlicher Genehmigung von Flyk( SuperUser).
Die Frage
SuperUser-Leser Lucas Kauffman möchte wissen, wie das -Erstellungsdatum ( oder Datum der letzten Änderung ) für Dienste in Windows zu finden ist:
Wenn Sie ein kompromittiertes Betriebssystem haben, das Sie für neu installierte Dienste analysieren möchtenoder wenn Services installiert wurden, wie geht das? Wo finde ich das -Erstellungsdatum für einen bestimmten Dienst in der Windows-Registrierung?
Wie finden Sie das Erstellungsdatum oder Datum der letzten Änderung für Dienste in Windows?
Die Antwort
SuperUser Mitwirkende Flyk und Andrew Medico haben die Antwort für uns. Zuerst, Flyk:
Es gibt keine Möglichkeit, das -Erstellungsdatum für einen bestimmten Windows-Dienst zu ermitteln, da sowohl das Dienst-Applet als auch die Windows-Registrierung keine mit der Erstellung verbundenen Daten speichern.
Es gibt jedoch ein -Änderungsdatum , das außerhalb der Ansicht versteckt ist( auch im Windows-Registrierungseditor), aber über RegQueryInfoKey kann darauf zugegriffen werden. Da alle Windows-Dienste in der Registrierung gespeichert sind, können Sie den -- anhand der Registrierungsschlüssel überprüfen, die sich auf den fraglichen Dienst beziehen, indem Sie in HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services suchen.
Wenn Sie die Registrierungsschlüssel exportieren, für die Sie Informationen als Textdatei benötigen, sehen Sie alternativ das -Änderungsdatum für jeden Schlüssel in der Textdatei.
Schließlich wurde eine Lösung mit PowerShell zum Zurückgeben des -- bereits in Stack Overflow besprochen.
Gefolgt von der Antwort von Andrew Medico:
Ab Vista wird die Serviceerstellung im Ereignisprotokoll des unter Service Control Manager Ereignis-ID 7045 protokolliert.
Zum Beispiel der folgende Befehl:
Erzeugt den folgenden Ereignisprotokolleintrag:
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.