4Aug
Hvis du har et kompromittert Windows-system og vil analysere når tjenester ble installert eller endret, hvordan gjør du det? Dagens SuperUser Q & A-innlegg har svar på en nysgjerrig leser spørsmål.
Dagens Spørsmål &Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.
Notisblokk skjermbilde med tillatelse til Flyk( SuperUser).
Spørsmålet
SuperUser leser Lucas Kauffman vil vite hvordan man finner Opprettingsdato ( eller sist endret dato ) for tjenester i Windows:
Hvis du har et kompromittert operativsystem du prøver å analysere for nylig installerte tjenestereller når tjenestene ble installert, hvordan gjør du det? Hvor finner jeg Opprettingsdato for en bestemt tjeneste i Windows-registret?
Hvordan finner du Opprettingsdato eller Sist endret dato for tjenester i Windows?
Svaret
SuperUser-bidragsytere Flyk og Andrew Medico har svaret for oss. Først opp, Flyk:
Det er ingen måte å bestemme Opprettingsdato for en bestemt Windows-tjeneste, da både tjenesteprogrammet og Windows-registret ikke lagrer noen datoer knyttet til etableringen.
Det er imidlertid et sist endret dato som er gjemt borte fra visning( selv i Windows-registerredigering), men det kan nås med RegQueryInfoKey. Siden alle Windows-tjenester er lagret i registret, kan du sjekke sist endret dato mot registernøklene relatert til tjenesten ved å se i HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternativt, hvis du eksporterer registernøklene du vil ha informasjon om som tekstfil, vil du se sist endret dato for hver nøkkel er skrevet i tekstfilen.
Endelig er en løsning som bruker PowerShell til å returnere sist endret dato , allerede diskutert på Stack Overflow.
Etterfulgt av svaret fra Andrew Medico:
Fra og med Vista, er serviceopprettelsen logget til System Event Log under Service Control Manager Event ID 7045 .
For eksempel, følgende kommando:
Produserte følgende hendelsesloggoppføring:
Har du noe å legge til forklaringen? Lyder av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.
