4Aug
Jeśli masz skompromitowany system Windows i chcesz analizować, kiedy usługi zostały zainstalowane lub zmodyfikowane, to jak to zrobić?Dzisiejszy post SuperUser Q & A ma odpowiedzi na ciekawe pytanie czytelnika.
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupy Q & A.
Notepad screenshot dzięki uprzejmości Flyk( SuperUser).
Pytanie
Czytnik SuperUser Lucas Kauffman chce wiedzieć, jak znaleźć Data utworzenia ( lub Data ostatniej modyfikacji ) dla usług w systemie Windows:
Jeśli masz zaatakowany system operacyjny, który próbujesz przeanalizować dla nowo zainstalowanych usługlub kiedy usługi zostały zainstalowane, jak to zrobić?Gdzie mogę znaleźć Data utworzenia dla konkretnej usługi w rejestrze systemu Windows?
Jak znaleźć Data utworzenia lub Data ostatniej modyfikacji dla usług w systemie Windows?
Odpowiedź Odpowiedzi
SuperUser Flyk i Andrew Medico mają dla nas odpowiedź.Po pierwsze, Flyk:
Nie ma możliwości określenia Data utworzenia dla określonej usługi Windows, ponieważ zarówno aplet usług, jak i rejestr systemu Windows nie przechowują żadnych dat związanych z tworzeniem.
Istnieje jednak data ostatniej modyfikacji , która jest ukryta poza widokiem( nawet w edytorze rejestru systemu Windows), ale można do niej uzyskać dostęp za pomocą RegQueryInfoKey. Ponieważ wszystkie usługi systemu Windows są przechowywane w rejestrze, można sprawdzić datę Data ostatniej modyfikacji w odniesieniu do kluczy rejestru związanych z daną usługą, patrząc w HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternatywnie, jeśli wyeksportujesz klucze rejestru, których informacje chcesz użyć jako pliku tekstowego, zobaczysz ostatnią datę modyfikacji dla każdego klucza zapisanego w pliku tekstowym.
Wreszcie, rozwiązanie wykorzystujące PowerShell do zwrócenia ostatniej daty modyfikacji zostało już omówione w Stack Overflow.
Następująca odpowiedź od Andrew Medico:
Począwszy od wersji Vista tworzenie usługi jest rejestrowane w dzienniku zdarzeń systemowych pod Menedżer sterowania usługami Identyfikator zdarzenia 7045 .
Na przykład następujące polecenie:
Utworzono następujący wpis dziennika zdarzeń:
Czy chcesz dodać coś do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.
