Kā jūs atrodaties pakalpojuma Windows pēdējā modificētā datumā?

Satura rādītājs:

Kā jūs atrodaties pakalpojuma Windows pēdējā modificētā datumā?
Kā jūs atrodaties pakalpojuma Windows pēdējā modificētā datumā?

Video: Kā jūs atrodaties pakalpojuma Windows pēdējā modificētā datumā?

Video: Kā jūs atrodaties pakalpojuma Windows pēdējā modificētā datumā?
Video: Mac Tipps, die jeder kennen sollte! (für Ein- und Umsteiger) - YouTube 2024, Marts
Anonim
Ja jums ir kompromitēta Windows sistēma un vēlaties analizēt, kad pakalpojumi tika instalēti vai modificēti, tad kā jūs to darāt? Šodienas SuperUser Q & A ziņai ir atbildes uz ziņkārīgo lasītāja jautājumu.
Ja jums ir kompromitēta Windows sistēma un vēlaties analizēt, kad pakalpojumi tika instalēti vai modificēti, tad kā jūs to darāt? Šodienas SuperUser Q & A ziņai ir atbildes uz ziņkārīgo lasītāja jautājumu.

Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.

Notepad screenshot pieklājīgi no Flyk (SuperUser).

Jautājums

SuperUser lasītājs Lucas Kauffman vēlas uzzināt, kā atrast Izveidošanas datums (vai Pēdējais modificētais datums) pakalpojumiem Windows:

If you have a compromised operating system that you are trying to analyze for newly installed services or when services were installed, how do you do that? Where can I find the Creation Date for a particular service in the Windows registry?

Kā jūs atrast Izveidošanas datums vai Pēdējais modificētais datums par pakalpojumiem Windows?

Atbilde

SuperUser atbalstītāji Flyk un Andrew Medico ir atbilde mums. Pirmkārt, Flyk:

There is no way to determine the Creation Date for a particular Windows service as both the services applet and Windows registry do not store any dates related to creation.

There is, however, a Last Modified Date that is hidden away from view (even in the Windows registry editor), but it can be accessed using RegQueryInfoKey. Since all Windows services are stored in the registry, you can check the Last Modified Date against the registry keys related to the service in question by looking in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices.

Alternatively, if you export the registry keys you want information about as text file, you will see the Last Modified Date for each key is written in the text file.

Image
Image

Finally, a solution using PowerShell to return the Last Modified Date has already been discussed on Stack Overflow.

Seko Andrew Medico atbilde:

Starting with Vista, service creation is logged to the System Event Log under Service Control Manager Event ID 7045.

For example, the following command:

Produced the following event log entry:
Produced the following event log entry:
Image
Image

Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.

Ieteicams: