4Aug
Ja jums ir kompromitēta Windows sistēma un vēlaties analizēt, kad pakalpojumi tika instalēti vai modificēti, tad kā jūs to darāt?Šodienas SuperUser Q & amai ir atbildes uz interesantu lasītāja jautājumu.
Šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Notepad screenshot pieklājīgi no Flyk( SuperUser).
Jautājums
SuperUser lasītājs Lucas Kauffman vēlas zināt, kā atrast izveidošanas datumu ( vai pēdējo modificēto datumu ) pakalpojumiem Windows:
Ja jums ir kompromitēta operētājsistēma, kuru mēģināt analizēt jaunizveidotiem pakalpojumiemvai kad tika instalēti pakalpojumi, kā jūs to darāt? Kur es varu atrast izveidošanas datumu konkrētam pakalpojumam Windows reģistrā?
Kā jūs atradīsiet izveidošanas datumu vai pēdējo modificēto datumu par pakalpojumiem Windows?
Atbilde
SuperUser atbalstītājiem Flyk un Andrew Medico ir atbilde mums. Pirmais uz augšu, Flyk:
Nav iespējams noteikt
izveidošanas datumu konkrētam Windows pakalpojumam, jo gan pakalpojumu aplets, gan Windows reģistrs neuzglabā datumus, kas saistīti ar radīšanu.Tomēr ir pēdējais modificētais datums , kas tiek paslēpts prom no skata( pat Windows reģistra redaktorā), bet tam var piekļūt, izmantojot RegQueryInfoKey. Tā kā visi Windows pakalpojumi tiek glabāti reģistrā, varat pārbaudīt pēdējo modificēto datumu pret reģistra atslēgas, kas saistītas ar attiecīgo pakalpojumu, skatiet HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternatīvi, ja eksportējat reģistra atslēgas, kurām vēlaties informāciju par teksta failu, jūs redzēsiet pēdējo modificēto datumu par katru taustiņu, kas rakstīts teksta failā.
Visbeidzot, risinājums, izmantojot PowerShell, lai atgrieztu pēdējo modificēto datumu , jau tika apspriests par stack pārpildīšanu.
Pēc tam, kad Andrew Medico atbildēja:
Sākot ar Vista, pakalpojumu izveidošana tiek reģistrēta sistēmas notikumu žurnālā saskaņā ar pakalpojumu pārvaldes pārvaldnieka notikuma ID 7045 .
Piemēram, šāda komanda:
Izveidoja šādu notikumu žurnāla ierakstu:
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.