4Aug
Kui teil on Windowsi kompromiteeritud süsteem ja soovite analüüsida, kui teenuseid installiti või modifitseeriti, siis kuidas te seda teete? Tänane SuperUser Q & post sisaldab vastuseid uudishimuliku lugeja küsimusele.
tänapäeva küsimus &Vastuste seanss tuleb meile viisakalt SuperUseriga - Q & A veebisaitide kogukonnapõhise grupi Stack Exchange jagunemisest.
Notepad screenshot viisakalt Flyk( SuperUser).
Küsimus
SuperUser-lugeja Lucas Kauffman tahab teada saada, kuidas leida loomise kuupäeva ( või viimati muudetud kuupäev ) Windowsi teenustele:
Kui teil on äsja paigaldatud teenuste analüüsimiseks ähvardatud operatsioonisüsteemvõi kui teenused olid installitud, kuidas te seda teete? Kust leida loomise kuupäeva teatud teenuse jaoks Windowsi registris?
Kuidas leiate loomise kuupäeva või viimase modifitseeritud kuupäeva Windowsi teenuste jaoks?
Vastused
SuperUseri kaasautoritele Flyk ja Andrew Medico on meile vastuseks. Esiteks üles, Flyk:
. Kindlat Windowsi teenust loomise kuupäeva määramiseks ei ole võimalik, kuna nii teenuste aplett kui ka Windowsi registriandmed ei salvesta loomisest tulenevaid kuupäevi.
Seal on siiski viimati muudetud kuupäev , mis on peidetud kuva( isegi Windowsi registriredaktoris), kuid seda saab kasutada RegQueryInfoKey abil. Kuna kõik Windowsi teenused on registrisse salvestatud, saate kontrollida viimati muudetud kuupäeva vastava teenuse registriklahvide kohta, vaadates HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternatiivina, kui ekspordite registrivõtmeid, mida soovite tekstifailina kasutada, siis näete tekstifailis kirjutatud viimati muudetud kuupäevat iga võtme kohta.
Lõpuks on lahendus, mis kasutab PowerShelli viimase modifitseeritud kuupäeva tagastamiseks, on juba arutatud Stack Overflowis.
Järgneb Andrew Medico vastus:
Alates Vistast logitakse teenuse loomine süsteemi sündmuste logi alla vastavalt Service Control Manager Event ID 7045 -le.
Näiteks järgmine käsk:
Toodud järgmine sündmuse logi kanne:
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.