Домашняя » как » Как найти дату «последнего изменения» для служб в Windows?

    Как найти дату «последнего изменения» для служб в Windows?

    Если у вас скомпрометированная система Windows и вы хотите проанализировать, когда службы были установлены или изменены, то как вы это сделаете? Сегодняшний пост SuperUser Q & A содержит ответы на любопытный вопрос читателя..

    Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..

    Скриншот блокнота предоставлен Flyk (SuperUser).

    Вопрос

    Читатель SuperUser Лукас Кауфман хочет знать, как найти Дата создания (или же Дата последнего изменения) для служб в Windows:

    Если у вас есть скомпрометированная операционная система, которую вы пытаетесь проанализировать для вновь установленных служб или когда службы были установлены, как вы это делаете? Где я могу найти Дата создания для конкретной службы в реестре Windows?

    Как вы находите Дата создания или же Дата последнего изменения для служб в Windows?

    Ответ

    Участники SuperUser Flyk и Andrew Medico имеют ответ для нас. Прежде всего, Flyk:

    Там нет никакого способа определить Дата создания для конкретной службы Windows, так как и апплет служб, и реестр Windows не хранят даты, связанные с созданием.

    Однако есть Дата последнего изменения это скрыто от просмотра (даже в редакторе реестра Windows), но к нему можно получить доступ, используя RegQueryInfoKey. Поскольку все службы Windows хранятся в реестре, вы можете проверить Дата последнего изменения против ключей реестра, связанных с рассматриваемой услугой, посмотрев в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Кроме того, если вы экспортируете разделы реестра, информацию о которых вы хотите получить в виде текстового файла, вы увидите Дата последнего изменения для каждого ключа написано в текстовом файле.

    Наконец, решение, использующее PowerShell для возврата Дата последнего изменения уже обсуждалось на переполнение стека.

    Далее следует ответ Андрея Медико:

    Начиная с Vista, создание сервиса регистрируется в Журнал системных событий под Диспетчер управления службами Код события 7045.

    Например, следующая команда:

    Произведена следующая запись в журнале событий:

    Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.

    Как вы находите свой пароль для Windows 7 или 8 Homegroup?
    Как заставить Google Chrome по возможности использовать HTTPS вместо HTTP?
    Как вы узнаете, какой фанат компьютера звучит громко?
    Следующая статья
    Как найти исходный источник изображения?
    Предыдущая статья
    Как найти IP-адрес второго компьютера, напрямую подключенного к первому через Ethernet?