Główna » jak » Jak znaleźć datę ostatniej modyfikacji dla usług w systemie Windows?

    Jak znaleźć datę ostatniej modyfikacji dla usług w systemie Windows?

    Jeśli masz skompromitowany system Windows i chcesz przeanalizować, kiedy usługi zostały zainstalowane lub zmodyfikowane, jak to zrobić? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi na ciekawe pytanie czytelnika.

    Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.

    Notatnik screenshot dzięki uprzejmości Flyk (SuperUser).

    Pytanie

    Czytnik SuperUser Lucas Kauffman chce wiedzieć, jak znaleźć Data utworzenia (lub Ostatnia modyfikowana data) dla usług w systemie Windows:

    Jeśli masz skompromitowany system operacyjny, który próbujesz analizować w przypadku nowo zainstalowanych usług lub podczas instalacji usług, jak to zrobić? Gdzie mogę znaleźć Data utworzenia dla określonej usługi w rejestrze systemu Windows?

    Jak znaleźć Data utworzenia lub Ostatnia modyfikowana data dla usług w systemie Windows?

    Odpowiedź

    Współpracownicy SuperUser, Flyk i Andrew Medico, mają dla nas odpowiedź. Po pierwsze, Flyk:

    Nie ma sposobu, aby określić Data utworzenia dla określonej usługi Windows, ponieważ zarówno aplet usług, jak i rejestr systemu Windows nie przechowują żadnych dat związanych z tworzeniem.

    Istnieje jednak Ostatnia modyfikowana data to jest ukryty poza widokiem (nawet w edytorze rejestru systemu Windows), ale można uzyskać do niego dostęp za pomocą RegQueryInfoKey. Ponieważ wszystkie usługi systemu Windows są przechowywane w rejestrze, można sprawdzić Ostatnia modyfikowana data przeciwko kluczom rejestru związanym z daną usługą, przeglądając HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Ewentualnie, jeśli wyeksportujesz klucze rejestru, których informacje chcesz użyć jako pliku tekstowego, zobaczysz Ostatnia modyfikowana data dla każdego klucza jest zapisany w pliku tekstowym.

    Wreszcie, rozwiązanie przy użyciu PowerShell, aby zwrócić Ostatnia modyfikowana data zostało już omówione w Stack Overflow.

    Poniżej znajduje się odpowiedź od Andrew Medico:

    Począwszy od wersji Vista tworzenie usługi jest rejestrowane w usłudze Dziennik zdarzeń systemowych pod Service Control Manager Identyfikator zdarzenia 7045.

    Na przykład następujące polecenie:

    Wyprodukowano następujący wpis dziennika zdarzeń:

    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.

    Jak znaleźć hasło do systemu Windows 7 lub 8?
    Jak zmusić Google Chrome do używania HTTPS zamiast HTTP, kiedy to możliwe?
    Jak się dowiedzieć, który wentylator komputerowy jest głośny?
    Następny artykuł
    Jak znaleźć oryginalne źródło obrazu?
    Poprzedni artykuł
    Jak znaleźć adres IP drugiego komputera podłączonego bezpośrednio do pierwszego przez Ethernet?