4Aug
Om du har ett kompromissat Windows-system och vill analysera när tjänster installerades eller modifierades, hur gör du det då?Dagens SuperUser Q & A-inlägg har svaren på en nyfiken läsarens fråga.
Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Notepad skärmdump med tillstånd av Flyk( SuperUser).
Frågan
SuperUser-läsare Lucas Kauffman vill veta hur man hittar -skapningsdatum ( eller Senast ändrad datum ) för tjänster i Windows:
Om du har ett kompromissat operativsystem som du försöker analysera för nyinstallerade tjänstereller när tjänster installerades, hur gör du det? Var kan jag hitta Creation Date för en viss tjänst i Windows-registret?
Hur hittar du Creation Date eller Senast ändrad datum för tjänster i Windows?
Svaret
SuperUser-bidragsgivare Flyk och Andrew Medico har svaret för oss. Först, Flyk:
Det finns inget sätt att bestämma
-skapningsdatumet för en viss Windows-tjänst, eftersom både applets och Windows-registret inte lagrar några datum relaterade till skapandet.Det finns emellertid ett Senast ändrat datum som är dolt bort från visning( även i Windows registry editor), men det kan nås med RegQueryInfoKey. Eftersom alla Windows-tjänster lagras i registret kan du kontrollera Senast ändrad datum mot registernycklarna relaterade till den aktuella tjänsten genom att titta i HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .
Alternativt kan du, om du exporterar registernycklarna som du vill ha information om som textfil, se Senast ändrad datum för varje nyckel är skrivet i textfilen.
Slutligen har en lösning som använder PowerShell för att returnera senast ändrad datum redan diskuterats på Stack Overflow.
Följd av svaret från Andrew Medico:
Börjar med Vista, tjänsten skapas loggad till System Event Log under Service Control Manager Event ID 7045 .
Till exempel följande kommando:
Producerade följande händelse logg post:
Har något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.
