Domovská » jak » Jak zjistíte datum poslední změny pro služby v systému Windows?

    Jak zjistíte datum poslední změny pro služby v systému Windows?

    Pokud máte kompromitovaný systém Windows a chcete analyzovat, kdy byly služby nainstalovány nebo upraveny, jak to děláte? Dnešní příspěvek SuperUser Q & A má odpovědi na otázku zvědavé čtenáře.

    Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

    Poznámkový blok obrazovky s laskavým svolením Flyk (SuperUser).

    Otázka

    Čtenář SuperUser Lucas Kauffman chce vědět, jak najít Datum vzniku (nebo Poslední změněný datum) pro služby v systému Windows:

    Pokud máte kompromitovaný operační systém, který se pokoušíte analyzovat pro nově nainstalované služby nebo při instalaci služeb, jak to děláte? Kde mohu najít Datum vzniku pro určitou službu v registru systému Windows?

    Jak zjistíte Datum vzniku nebo Poslední změněný datum pro služby v systému Windows?

    Odpověď

    Příznivci služby SuperUser Flyk a Andrew Medico mají pro nás odpověď. První, Flyk:

    Neexistuje žádný způsob, jak určit Datum vzniku pro konkrétní službu Windows, protože jak applet služby, tak registr systému Windows neukládají data související s vytvářením.

    Existuje však a Poslední změněný datum který je skrytý mimo zobrazení (dokonce i v editoru registru systému Windows), ale lze jej přistupovat pomocí RegQueryInfoKey. Protože jsou všechny služby Windows uloženy v registru, můžete zkontrolovat Poslední změněný datum v porovnání s klíči registru souvisejícími s danou službou HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Případně, pokud exportujete klíče registru, které chcete získat jako textový soubor, uvidíte Poslední změněný datum pro každý klíč je napsán v textovém souboru.

    A nakonec řešení pomocí PowerShell k návratu Poslední změněný datum bylo již diskutováno o přetečení stacků.

    Následuje odpověď od Andrewa Medica:

    Počínaje operačním systémem Vista se protokoluje vytvoření služby Systémový protokol událostí pod Správce služby řízení událostí ID události 7045.

    Například následující příkaz:

    Vytvořil následující záznam protokolu událostí:

    Musíte něco přidat k vysvětlení? Vyjměte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.

    Jak najdeš heslo Windows 7 nebo 8 pro domácí skupinu?
    Jak vynutíte aplikaci Google Chrome používat HTTPS namísto HTTP, kdykoli je to možné?
    Jak zjistíte, který počítačový ventilátor je hlasitý?
    Další článek
    Jak zjistíte původní zdroj obrázku?
    Předchozí článek
    Jak zjistíte adresu IP druhého počítače přímo připojeného k prvnímu prostřednictvím sítě Ethernet?