Jika pada sistem yang dikompromikan Anda mencoba menganalisis layanan yang baru diinstal atau ketika layanan diinstal, bagaimana Anda melakukannya. Di mana saya dapat menemukan tanggal pembuatan untuk layanan tertentu di registri Windows?
Tidak ada cara untuk menentukan tanggal pembuatan untuk layanan Windows tertentu karena applet layanan dan registri Windows tidak menyimpan tanggal yang berkaitan dengan kreasi.
Namun, ada tanggal modifikasi terakhir yang tersembunyi dari pandangan (termasuk dalam editor registri Windows) tetapi dapat diakses menggunakan RegQueryInfoKey . Karena semua layanan Windows yang disimpan dalam registri, Anda dapat memeriksa Tanggal Modifikasi Terakhir terhadap kunci registri yang terkait dengan layanan tersebut dengan melihatHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Atau, jika Anda mengekspor kunci registri yang Anda inginkan informasinya sebagai file teks, tanggal modifikasi terakhir untuk setiap kunci ditulis dalam file teks.
Mulai di Vista, pembuatan layanan dicatat ke log peristiwa "Sistem" di bawah ID 7045.
Misalnya, perintah berikut:
Menghasilkan entri log peristiwa berikut:
sumber