Dacă aveți un sistem Windows compromis și doriți să analizați când au fost instalate sau modificate serviciile, atunci cum faceți acest lucru? Postul de astăzi SuperUser Q & A are răspunsurile la o întrebare curioasă a cititorului.
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.
Notepad screenshot de la Flyk (SuperUser).
Cititorul superutilizatorului Lucas Kauffman vrea să știe cum să găsească Data crearii (sau Data ultimei modificări) pentru servicii în Windows:
Dacă aveți un sistem de operare compromis pe care încercați să îl analizați pentru serviciile nou instalate sau când au fost instalate servicii, cum faceți acest lucru? Unde pot găsi Data crearii pentru un anumit serviciu din registrul Windows?
Cum găsești Data crearii sau Data ultimei modificări pentru servicii în Windows?
Contribuitorii de la SuperUser Flyk și Andrew Medico au răspunsul pentru noi. În primul rând, Flyk:
Nu există nici o modalitate de a determina Data crearii pentru un anumit serviciu Windows, deoarece atletul de servicii și registrul Windows nu stochează nici o dată referitoare la crearea.
Există, totuși, a Data ultimei modificări care este ascuns departe de vedere (chiar și în editorul de registru Windows), dar poate fi accesat folosind RegQueryInfoKey. Deoarece toate serviciile Windows sunt stocate în registry, puteți verifica Data ultimei modificări împotriva cheilor de registru legate de serviciul în cauză prin căutarea în HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Alternativ, dacă exportați cheile de registry pe care doriți să obțineți informații ca fișier text, veți vedea Data ultimei modificări pentru fiecare cheie este scris în fișierul text.
În cele din urmă, o soluție care utilizează PowerShell pentru a returna Data ultimei modificări a fost deja discutată despre stack overflow.
Urmat de răspunsul lui Andrew Medico:
Începând cu Vista, crearea de servicii este înregistrată în Jurnalul de evenimente al sistemului sub Manager de gestionare a serviciului ID-ul evenimentului 7045.
De exemplu, următoarea comandă:
A produs următoarea înregistrare a evenimentelor:
Aveți ceva de adăugat la explicație? Sunați în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.
