Temukan tanggal pembuatan layanan di Windows?

12

Jika pada sistem yang dikompromikan Anda mencoba menganalisis layanan yang baru diinstal atau ketika layanan diinstal, bagaimana Anda melakukannya. Di mana saya dapat menemukan tanggal pembuatan untuk layanan tertentu di registri Windows?

Lucas Kauffman
sumber

Jawaban:

21

Tidak ada cara untuk menentukan tanggal pembuatan untuk layanan Windows tertentu karena applet layanan dan registri Windows tidak menyimpan tanggal yang berkaitan dengan kreasi.

Namun, ada tanggal modifikasi terakhir yang tersembunyi dari pandangan (termasuk dalam editor registri Windows) tetapi dapat diakses menggunakan RegQueryInfoKey . Karena semua layanan Windows yang disimpan dalam registri, Anda dapat memeriksa Tanggal Modifikasi Terakhir terhadap kunci registri yang terkait dengan layanan tersebut dengan melihatHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Atau, jika Anda mengekspor kunci registri yang Anda inginkan informasinya sebagai file teks, tanggal modifikasi terakhir untuk setiap kunci ditulis dalam file teks.

masukkan deskripsi gambar di sini

Akhirnya, solusi menggunakan PowerShell untuk mengembalikan Tanggal Modifikasi Terakhir telah dibahas pada Stack Overflow .

Flyk
sumber
Sayangnya ini tidak bekerja untuk saya. Saya mendapatkan No Last Write Time ketika mengekspor Layanan
Chris F Carroll
9

Mulai di Vista, pembuatan layanan dicatat ke log peristiwa "Sistem" di bawah ID 7045.

Misalnya, perintah berikut:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Menghasilkan entri log peristiwa berikut:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem
tak seorangpun
sumber
Apakah ada cara untuk mengakses entri log peristiwa dari registri?
RoraΖ
Tidak, itu adalah hal-hal yang terpisah.
tidak ada yang