Úvodná » ako » Ako nájdeš dátum poslednej úpravy služieb v systéme Windows?

    Ako nájdeš dátum poslednej úpravy služieb v systéme Windows?

    Ak máte kompromitovaný systém Windows a chcete analyzovať, kedy boli služby nainštalované alebo upravené, ako to urobíte? Dnešný príspevok SuperUser Q & A má odpovede na otázku zvedavého čitateľa.

    Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.

    Poznámkový obrázok obrazovky s láskavým dovolením Flyk (SuperUser).

    Otázka

    Čítačka SuperUser Lucas Kauffman chce vedieť, ako nájsť Dátum vytvorenia (alebo Posledný zmenený dátum) pre služby v systéme Windows:

    Ak máte kompromitovaný operačný systém, ktorý sa pokúšate analyzovať pre novo nainštalované služby alebo pri inštalácii služieb, ako to robíte? Kde nájdem Dátum vytvorenia pre konkrétnu službu v registri systému Windows?

    Ako nájdeš Dátum vytvorenia alebo Posledný zmenený dátum pre služby v systéme Windows?

    Odpoveď

    Príslušníci služby SuperUser Flyk a Andrew Medico majú odpoveď pre nás. Prvýkrát, Flyk:

    Nie je možné určiť Dátum vytvorenia pre konkrétnu službu Windows, pretože ako applet služby, tak aj systém Windows Registry neuchovávajú žiadne údaje súvisiace s tvorbou.

    Existuje však a Posledný zmenený dátum ktorý je skrytý mimo zobrazenia (dokonca aj v editore Registry systému Windows), ale je prístupný pomocou RegQueryInfoKey. Pretože všetky služby Windows sú uložené v registri, môžete skontrolovať Posledný zmenený dátum v porovnaní s kľúčmi databázy Registry súvisiacimi s príslušnou službou HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Prípadne, ak exportujete kľúče databázy Registry, o ktoré chcete získať informácie ako textový súbor, uvidíte Posledný zmenený dátum pre každý kľúč je napísaný v textovom súbore.

    Napokon, riešenie pomocou PowerShell vrátiť Posledný zmenený dátum sa už diskutovalo o pretečeniu stackov.

    Nasledujúca odpoveď od Andrewa Medica:

    Počnúc systémom Vista je vytvorenie služby zaznamenané do priečinka Denník udalostí systému pod Správca riadenia služby Event ID 7045.

    Napríklad nasledujúci príkaz:

    Vytvoril sa nasledujúci záznam denníka udalostí:

    Máte niečo doplniť vysvetlenie? Znie to v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.

    Ako nájdete svoje Windows 7 alebo 8 domáce heslo?
    Ako vynútete prehliadaču Google Chrome používať protokol HTTPS namiesto HTTP vždy, keď je to možné?
    Ako zistíte, ktorý počítačový ventilátor je hlasný?
    Ďalší článok
    Ako nájdeš pôvodný zdroj obrázka?
    Predchádzajúci článok
    Ako nájdeš IP adresu druhého počítača priamo pripojeného k prvej cez ethernet?