4Aug

Hogyan találja meg a "Last Modified" Dátumot a Windows szolgáltatásaihoz?

click fraud protection

Ha van egy kompromisszumos Windows rendszer, és elemezni szeretné a szolgáltatások telepítését vagy módosítását, akkor hogyan csinálod ezt? A mai SuperUser Q & A bejegyzés a kíváncsi olvasói kérdésre ad választ.

A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.

Notepad screenshot a Flyk( SuperUser) jóvoltából.

Kérdés

SuperUser olvasó Lucas Kauffman szeretné megtudni, hogyan találja meg az létrehozási dátumát ( vagy Utoljára módosított dátum ) a Windows szolgáltatásaihoz:

Ha olyan kompromisszumozott operációs rendszerrel rendelkezik, amelyet az újonnan telepített szolgáltatásokvagy mikor a szolgáltatásokat telepítették, hogyan teheti meg? Hol találom az létrehozási dátumot egy adott szolgáltatáshoz a Windows rendszerleíró adatbázisban?

Hogyan találja meg az létrehozási dátumot vagy Utoljára módosított dátum a Windows szolgáltatásaihoz?

A válasz

SuperUser közreműködők Flyk és Andrew Medico válaszolnak nekünk. Először is, Flyk:

instagram viewer

Az létrehozásának dátuma nincs meghatározva egy adott Windows szolgáltatáshoz, mivel mind a szolgáltatásalkalmazás, mind a Windows rendszerleíró adatbázis nem tárolja a létrehozáshoz kapcsolódó dátumokat.

Van azonban utolsó módosítás dátuma , amely el van rejtve a nézetből( még a Windows rendszerleíróadatbázis-szerkesztőben), de a RegQueryInfoKey segítségével érhető el. Mivel az összes Windows szolgáltatás a rendszerleíró adatbázisban van tárolva, az Utolsó módosítás dátuma a HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services néven tekintve tekintheti meg a szóban forgó szolgáltatáshoz kapcsolódó rendszerleíró kulcsokat.

Alternatív megoldásként, ha exportálja a rendszerleíró kulcsokat szöveges fájlként, akkor az Utolsó módosítás dátuma minden egyes kulcsra a szövegfájlba kerül.

Végül egy olyan megoldás, amely a PowerShell-t használja az Utolsó Módosított Dátum visszaadásához, már tárgyalt a Stack Overflow-ban.

Az Andrew Medico válasza:

A Vista-tól kezdődően a szolgáltatás létrehozása az rendszer eseménynaplójába van regisztrálva Service Control Manager 7045 eseményazonosító alatt.

Például a következő parancsot:

A következő eseménynapló bejegyzést állította elő:

Van valami a magyarázat hozzáadásához? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.