Як знайти дату останньої зміни для служб Windows?
Якщо у вас є скомпрометована система Windows і хочете проаналізувати, коли служби були встановлені або змінені, як це зробити? Сьогоднішня посада SuperUser Q&A має відповіді на запитання цікавого читача.
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..
Знімок екрана Notepad наданий компанією Flyk (SuperUser).
Питання
Читач SuperUser Лукас Кауфман хоче знати, як знайти Дата створення (або Дата останньої зміни) для служб у Windows:
Як ви це робите, якщо у вас є скомпрометована операційна система, яку ви намагаєтеся проаналізувати для нещодавно встановлених служб або після встановлення служб? Де я можу знайти Дата створення для певної служби в реєстрі Windows?
Як ви знайдете Дата створення або Дата останньої зміни для послуг у Windows?
Відповідь
Співробітники SuperUser Flyk та Andrew Medico мають відповідь для нас. Спочатку, Flyk:
Неможливо визначити Дата створення для певної служби Windows, оскільки аплет служб і реєстр Windows не зберігають будь-які дати, пов'язані з створенням.
Однак є Дата останньої зміни що приховано від перегляду (навіть у редакторі реєстру Windows), але доступ до неї можна отримати за допомогою RegQueryInfoKey. Оскільки всі служби Windows зберігаються в реєстрі, можна перевірити Дата останньої зміни щодо ключів реєстру, пов'язаних з даною послугою, переглядаючи HKEY_LOCAL_MACHINE СИСТЕМА \ t.
Крім того, якщо ви експортуєте ключі реєстру, у яких потрібна інформація про текстовий файл, ви побачите Дата останньої зміни для кожного ключа записується в текстовому файлі.
Нарешті, рішення з використанням PowerShell для повернення Дата останньої зміни вже обговорювалося на Stack Overflow.
Далі йшла відповідь від Ендрю Медіко:
Починаючи з Vista, створення сервісу реєструється на сервері Журнал системних подій під Ідентифікатор події диспетчера послуг 7045.
Наприклад, наступна команда:
Створено такий запис журналу подій:
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.