Ako nájdeš dátum poslednej úpravy služieb v systéme Windows?

Ak máte ohrozený systém Windows a chcete analyzovať, kedy boli služby inštalované alebo upravené, ako to urobíte? Dnešný príspevok SuperUser Q & A má odpovede na otázku zvedavého čitateľa.

Dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.

Zápisník obrazovky s námetom Flyk( SuperUser).

Otázka

Čítačka SuperUser Lucas Kauffman chce vedieť, ako nájsť Dátum vytvorenia ( alebo Posledná zmenená dátum ) pre služby v systéme Windows:

Ak máte kompromitovaný operačný systém, ktorý sa pokúšate analyzovať pre novo nainštalované službyalebo keď boli služby nainštalované, ako to robíte? Kde môžem nájsť dátum vytvorenia pre konkrétnu službu v registri systému Windows?

Ako nájdete dátum vytvorenia alebo posledný zmenený dátum pre služby v systéme Windows?

Odpovedia na odpovede

SuperUser Flyk a Andrew Medico. Prvýkrát, Flyk:

Nie je žiadny spôsob, ako určiť dátum vytvorenia

pre konkrétnu službu Windows, pretože ako applet služieb, tak aj register Windows neuchovávajú žiadne dátumy súvisiace s vytváraním.

Existuje však posledný zmenený dátum , ktorý je skrytý mimo zobrazenia( aj v editore registra Windows), ale je prístupný pomocou RegQueryInfoKey. Keďže všetky služby Windows sú uložené v registri, môžete skontrolovať posledný zmenený dátum proti kľúče databázy Registry súvisiace s príslušnou službou vyhľadaním HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .

Prípadne, ak exportujete kľúče databázy Registry, o ktoré chcete získať informácie ako textový súbor, uvidíte posledný zmenený dátum pre každý kľúč zapísaný v textovom súbore.

Napokon, riešenie používajúce PowerShell na vrátenie posledného zmeneného dátumu už bolo prerokované na pretečení stackov.

Nasledujúca odpoveď od Andrewa Medica:

Počnúc systémom Vista sa zaznamenáva vytvorenie služby do denníka udalostí systému pod Správca riadenia služby Event ID 7045 .

Napríklad nasledujúci príkaz:

Vyrobil nasledujúci záznam denníka udalostí:

Musíte niečo pridať k vysvetleniu? Znížte komentáre. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.