4Aug

Comment trouvez-vous la date «dernière modification» pour les services dans Windows?

Si vous avez un système Windows compromis et que vous voulez analyser quand les services ont été installés ou modifiés, alors comment faites-vous cela? Le SuperUser Q & A d'aujourd'hui a les réponses à la question d'un lecteur curieux.

Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.

Notepad capture d'écran avec la permission de Flyk( SuperUser).

La question Lecteur

SuperUser Lucas Kauffman veut savoir comment trouver Date de création ( ou Date de dernière modification ) pour les services sous Windows:

Si vous avez un système d'exploitation compromis que vous essayez d'analyser pour les services nouvellement installésou quand les services ont été installés, comment faites-vous cela? Où puis-je trouver la date de création pour un service particulier dans le registre Windows?

Comment trouvez-vous la date de création ou Date de dernière modification pour les services dans Windows?

La réponse

SuperUser collaborateurs Flyk et Andrew Medico ont la réponse pour nous. Tout d'abord, Flyk:

Il n'y a aucun moyen de déterminer la date de création pour un service Windows particulier car l'applet de services et le registre Windows ne stockent aucune date liée à la création.

Il existe cependant une date dernière mise à jour cachée( même dans l'éditeur de registre de Windows), mais on peut y accéder en utilisant RegQueryInfoKey.Étant donné que tous les services Windows sont stockés dans le Registre, vous pouvez vérifier Date de dernière modification par rapport aux clés de Registre liées au service en question en recherchant dans HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .

Sinon, si vous exportez les clés de registre que vous voulez des informations à propos de fichier texte, vous verrez la date dernière modification pour chaque clé est écrite dans le fichier texte.

Enfin, une solution utilisant PowerShell pour renvoyer la date de dernière modification a déjà été discutée sur Stack Overflow.

Suivi de la réponse d'Andrew Medico:

À partir de Vista, la création du service est enregistrée dans le journal des événements système sous l'ID d'événement 7045 du gestionnaire de contrôle des services .

Par exemple, la commande suivante:

Produit l'entrée suivante du journal des événements:

Avez-vous quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.