Ако имате компрометирана система за Windows и искате да анализирате кога са били инсталирани или променени услугите, тогава как да направите това? Днешната публикация "SuperUser Q & A" има отговорите на въпроса на любознателен читател.
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Бележник на екрана, предоставен от Flyk (SuperUser).
Reader на SuperUser Лукас Кауфман иска да знае как да намери Дата на създаване (или Последна промяна на датата) за услуги в Windows:
Ако имате компрометирана операционна система, която се опитвате да анализирате за новосъздадени услуги или когато сте инсталирали услуги, как да направите това? Къде мога да намеря Дата на създаване за дадена услуга в системния регистър на Windows?
Как намирате Дата на създаване или Последна промяна на датата за услуги в Windows?
Сътрудниците на SuperUser Flyk и Andrew Medico имат отговор за нас. Първо, Flyk:
Няма начин да се определи Дата на създаване за конкретна услуга на Windows, тъй като както аплета за услуги, така и регистър на Windows не съхраняват дати, свързани със създаването.
Има, обаче, a Последна промяна на датата (дори и в редактора на системния регистър на Windows), но може да бъде достъпен чрез RegQueryInfoKey. Тъй като всички услуги на Windows се съхраняват в системния регистър, можете да проверите Последна промяна на датата срещу ключовете на системния регистър, свързани с въпросната услуга, като потърсите HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Като алтернатива, ако експортирате ключовете на системния регистър, за които искате информация като текстов файл, ще видите Последна промяна на датата за всеки ключ е написан в текстовия файл.
И накрая, решение, използващо PowerShell за връщане на Последна промяна на датата вече е обсъдено по преливане на Stack.
Последвано от отговора на Андрю Медико:
Започвайки с Vista, създаването на услугата се записва в Системен регистър на събития при Мениджър за управление на услугата ID на събитието 7045.
Например, следната команда:
Произведено е следното вписване в регистъра на събития:
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
