Jeśli masz skompromitowany system Windows i chcesz przeanalizować, kiedy usługi zostały zainstalowane lub zmodyfikowane, jak to zrobić? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi na ciekawe pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Notatnik screenshot dzięki uprzejmości Flyk (SuperUser).
Czytnik SuperUser Lucas Kauffman chce wiedzieć, jak znaleźć Data utworzenia (lub Ostatnia modyfikowana data) dla usług w systemie Windows:
Jeśli masz skompromitowany system operacyjny, który próbujesz analizować w przypadku nowo zainstalowanych usług lub podczas instalacji usług, jak to zrobić? Gdzie mogę znaleźć Data utworzenia dla określonej usługi w rejestrze systemu Windows?
Jak znaleźć Data utworzenia lub Ostatnia modyfikowana data dla usług w systemie Windows?
Współpracownicy SuperUser, Flyk i Andrew Medico, mają dla nas odpowiedź. Po pierwsze, Flyk:
Nie ma sposobu, aby określić Data utworzenia dla określonej usługi Windows, ponieważ zarówno aplet usług, jak i rejestr systemu Windows nie przechowują żadnych dat związanych z tworzeniem.
Istnieje jednak Ostatnia modyfikowana data który jest ukryty poza widokiem (nawet w edytorze rejestru systemu Windows), ale można do niego uzyskać dostęp za pomocą RegQueryInfoKey. Ponieważ wszystkie usługi systemu Windows są przechowywane w rejestrze, można sprawdzić Ostatnia modyfikowana data w odniesieniu do kluczy rejestru związanych z daną usługą, przeglądając HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Ewentualnie, jeśli wyeksportujesz klucze rejestru, których informacje chcesz użyć jako pliku tekstowego, zobaczysz Ostatnia modyfikowana data dla każdego klucza jest zapisany w pliku tekstowym.
Wreszcie, rozwiązanie przy użyciu PowerShell, aby zwrócić Ostatnia modyfikowana data zostało już omówione w Stack Overflow.
Poniżej znajduje się odpowiedź od Andrew Medico:
Począwszy od wersji Vista tworzenie usługi jest rejestrowane w usłudze Dziennik zdarzeń systemowych pod Service Control Manager Identyfikator zdarzenia 7045.
Na przykład następujące polecenie:
Wyprodukowano następujący wpis dziennika zdarzeń:
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.
