4Aug

Kako pronaći datum zadnje izmjene za usluge u sustavu Windows?

click fraud protection

Ako imate kompromitirani sustav Windows i želite analizirati kada su usluge instalirane ili izmijenjene, kako to učiniti? Današnji SuperUser Q & A post ima odgovore na pitanje čudnog čitatelja.

Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, grupiranjem zajednice Q & A web stranica.

Snimak zaslona Notepada zahvaljujući Flyk( SuperUser).

Pitanje

SuperUser čitač Lucas Kauffman želi znati kako pronaći datum stvaranja ( ili zadnji promijenjeni datum ) za usluge u sustavu Windows:

Ako imate kompromitiran operacijski sustav koji pokušavate analizirati za novo instalirane uslugeili kada su usluge instalirane, kako to učiniti? Gdje mogu pronaći datum stvaranja za određenu uslugu u registru sustava Windows?

Kako pronaći datum kreiranja ili Zadnji promijenjeni datum za usluge u sustavu Windows?

Odgovor

SuperUser suradnici Flyk i Andrew Medico imaju odgovor za nas. Prvo, Flyk:

Ne postoji način za određivanje

instagram viewer
datuma stvaranja za određenu Windows uslugu jer obje aplikacije usluga i registar sustava Windows ne pohranjuju nikakve datume vezane uz stvaranje.

Postoji, međutim, zadnji izmijenjeni datum koji je skriven od pogleda( čak iu Windows Registry Editoru), ali se može pristupiti pomoću RegQueryInfoKey. Budući da su sve Windows usluge pohranjene u registru, možete provjeriti zadnji izmijenjeni datum protiv ključeva registra koji se odnose na dotičnu uslugu pregledavanjem HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .

Alternativno, ako izvezete ključeve registra koji želite informacije o tekstualnoj datoteci, vidjet ćete zadnji izmijenjeni datum za svaki ključ je napisan u tekstnoj datoteci.

Konačno, rješenje koje koristi PowerShell za vraćanje zadnje izmijenjenog datuma već je opisano na Stack Overflow.

Slijedi odgovor Andrije Medico:

Počevši od Vidik, stvaranje servisa zapisuje se u sustav zapisnika događaja pod Service Control Manager ID događaja 7045 .

Na primjer, sljedeća naredba:

Izrađeno je sljedeće zapisnik događaja:

Imate li nešto za dodavanje objašnjenja? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.