4Aug
Se você possui um sistema Windows comprometido e quer analisar quando os serviços foram instalados ou modificados, então, como você faz isso? O super-usuário Q & A Post tem respostas para a pergunta de um leitor curioso.
Pergunta de hoje e amp;A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.Captura de tela do bloco de notas
cortesia do Flyk( SuperUser).
A questão
Leitor de superutilizador Lucas Kauffman quer saber como encontrar a data de criação ( ou Última data modificada ) para serviços no Windows:
Se você tiver um sistema operacional comprometido que você está tentando analisar para serviços recém-instaladosou quando os serviços foram instalados, como você faz isso? Onde posso encontrar a data de criação para um serviço específico no registro do Windows?
Como você encontra a Data de Criação ou Última Data Modificada para serviços no Windows?
A resposta As contribuições
SuperUser Flyk e Andrew Medico têm a resposta para nós. Primeiro, Flyk:
Não há como determinar a data de criação para um serviço particular do Windows, pois o applet de serviços e o registro do Windows não armazenam datas relacionadas à criação.
Existe, no entanto, uma última data modificada que está escondida da vista( mesmo no editor de registro do Windows), mas pode ser acessada usando RegQueryInfoKey. Uma vez que todos os serviços do Windows estão armazenados no registro, você pode verificar a Última data modificada contra as chaves de registro relacionadas ao serviço em questão, consultando HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternativamente, se você exportar as chaves de registro que você deseja obter informações sobre como arquivo de texto, você verá Última data modificada para cada chave é escrita no arquivo de texto.
Finalmente, uma solução usando o PowerShell para retornar a Última data modificada já foi discutida no estouro de pilha.
Seguido pela resposta de Andrew Medico:
Começando com o Vista, a criação do serviço é logada no System Event Log no Gerenciador de Controle ID de evento 7045 .
Por exemplo, o seguinte comando:
Produziu a seguinte entrada de log de eventos:
Tem alguma coisa a adicionar à explicação? Som desligado nos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.