4Aug
Si tiene un sistema Windows comprometido y desea analizar cuándo se instalaron o modificaron los servicios, ¿cómo lo hace? La publicación SuperUser Q & A de hoy tiene las respuestas a la pregunta de un lector curioso.
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad. Captura de pantalla de la libreta de
cortesía de Flyk( SuperUser).
El lector de SuperUser
de preguntas Lucas Kauffman quiere saber cómo encontrar Fecha de creación ( o Fecha de última modificación ) para servicios en Windows:
Si tiene un sistema operativo comprometido que está tratando de analizar para servicios recién instaladoso cuando se instalaron los servicios, ¿cómo se hace eso?¿Dónde puedo encontrar Fecha de creación para un servicio particular en el registro de Windows?
¿Cómo se encuentra la Fecha de creación o Fecha de última modificación para los servicios en Windows?
La respuesta Los colaboradores de
SuperUser Flyk y Andrew Medico tienen la respuesta para nosotros. Primero, Flyk:
No hay forma de determinar Fecha de creación para un servicio de Windows particular, ya que tanto el applet de servicios como el registro de Windows no almacenan ninguna fecha relacionada con la creación.
Hay, sin embargo, una Fecha de última modificación que está oculta fuera de la vista( incluso en el editor de registro de Windows), pero se puede acceder usando RegQueryInfoKey. Dado que todos los servicios de Windows están almacenados en el registro, puede verificar Fecha de última modificación contra las claves de registro relacionadas con el servicio en cuestión al buscar en HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternativamente, si exporta las claves de registro que desea información sobre el archivo de texto, verá Fecha de última modificación para cada clave escrita en el archivo de texto.
Finalmente, una solución que usa PowerShell para devolver Fecha de última modificación ya se ha discutido en Stack Overflow.
Seguido por la respuesta de Andrew Medico:
Comenzando con Vista, la creación del servicio se registra en el System Event Log bajo Service Control Manager Event ID 7045 .
Por ejemplo, el siguiente comando:
produjo la siguiente entrada del registro de eventos:
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.