Skip to main content

Kaip galite rasti "Paskutinės pakeistos" tarnybų "Windows" datos?

Kaip galite rasti "Paskutinės pakeistos" tarnybų "Windows" datos?

Geoffrey Carr

Jei turite kompromituotą "Windows" sistemą ir norite analizuoti, kada įdiegtos ar pakeistos paslaugos, tada kaip jūs tai darote? Šiandienos "SuperUser Q & A" žinute turi atsakymus į įdomų skaitytojo klausimą.

Šiandieninė klausimų ir atsakymų sesija pateikiama su "SuperUser" - "Stack Exchange", bendruomenės valdoma Q & A grupių asociacija.

Notepad screenshot mandagiai Flyk (SuperUser).

Klausimas

SuperUser skaitytojas Lucas Kauffman nori sužinoti, kaip rasti Sukūrimo data (arba Paskutinė pakeista data) "Windows" paslaugoms:

If you have a compromised operating system that you are trying to analyze for newly installed services or when services were installed, how do you do that? Where can I find the Creation Date for a particular service in the Windows registry?

Kaip sužinojote Sukūrimo data arba Paskutinė pakeista data paslaugoms "Windows"?

Atsakymas

"SuperUser" autoriai "Flyk" ir "Andrew Medico" atsakė už mus. Pirma, Flyk:

There is no way to determine the Creation Date for a particular Windows service as both the services applet and Windows registry do not store any dates related to creation.

There is, however, a Last Modified Date that is hidden away from view (even in the Windows registry editor), but it can be accessed using RegQueryInfoKey. Since all Windows services are stored in the registry, you can check the Last Modified Date against the registry keys related to the service in question by looking in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices.

Alternatively, if you export the registry keys you want information about as text file, you will see the Last Modified Date for each key is written in the text file.

Finally, a solution using PowerShell to return the Last Modified Date has already been discussed on Stack Overflow.

Sekant Andrew Medico atsakymui:

Starting with Vista, service creation is logged to the System Event Log under Service Control Manager Event ID 7045.

For example, the following command:

Produced the following event log entry:


Ar turite ką nors įtraukti į paaiškinimą? Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų? Patikrinkite visą diskusijų temą čia.

Link
Plus
Send
Send
Pin