4Aug
Als u een beschadigd Windows-systeem hebt en wilt analyseren wanneer services zijn geïnstalleerd of gewijzigd, hoe doet u dat dan? De SuperUser van vandaag Q & Een bericht heeft de antwoorden op de vraag van een nieuwsgierige lezer.
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
Blocnote screenshot met dank aan Flyk( SuperUser).
De vraag
SuperUser-lezer Lucas Kauffman wil weten hoe de -aanmaakdatum ( of laatste wijzigingsdatum ) voor services in Windows te vinden is:
Als u een aangetast besturingssysteem hebt dat u probeert te analyseren voor nieuw geïnstalleerde servicesof wanneer services zijn geïnstalleerd, hoe doe je dat? Waar kan ik de aanmaakdatum vinden voor een bepaalde service in het Windows-register?
Hoe vindt u de aanmaakdatum of Last Modified Date voor services in Windows?
Het antwoord
SuperUser-bijdragers Flyk en Andrew Medico hebben het antwoord voor ons. Allereerst, Flyk:
Er is geen manier om de aanmaakdatum voor een bepaalde Windows-service te bepalen, omdat zowel de servicesapplet als het Windows-register geen datums opslaan die gerelateerd zijn aan het maken.
Er is echter een Last Modified Date die niet zichtbaar is( zelfs in de Windows-registereditor), maar toegankelijk is via RegQueryInfoKey. Aangezien alle Windows-services zijn opgeslagen in het register, kunt u de Last Modified Date controleren op de registersleutels die betrekking hebben op de betreffende service door te kijken in HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Als u als alternatief de registersleutels exporteert waar u informatie over wilt als tekstbestand, ziet u de Last Modified Date voor elke sleutel die in het tekstbestand is geschreven.
Ten slotte is een oplossing met PowerShell om de Last Modified Date terug te geven al besproken bij Stack Overflow.
Gevolgd door het antwoord van Andrew Medico:
Beginnend met Vista, wordt het maken van services vastgelegd in het System Event Log onder Service Control Manager Event ID 7045 .
Bijvoorbeeld de volgende opdracht:
Geproduceerd de volgende gebeurtenislogboekvermelding:
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.