Početna » kako da » Kako pronaći datum zadnje izmjene za usluge u sustavu Windows?

    Kako pronaći datum zadnje izmjene za usluge u sustavu Windows?

    Ako imate kompromitirani sustav Windows i želite analizirati kada su usluge instalirane ili izmijenjene, kako ćete to učiniti? Današnja postova s ​​pitanjima o odgovorima korisnika imaju odgovore na znatiželjno pitanje čitatelja.

    Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.

    Snimka zaslona Notepada zahvaljujući usluzi Flyk (superkorisnik).

    Pitanje

    Čitatelj SuperUser Lucas Kauffman želi znati kako pronaći Datum stvaranja (ili Datum zadnje izmjene) za usluge u sustavu Windows:

    Ako imate kompromitirani operacijski sustav koji pokušavate analizirati za novoinstalirane usluge ili kada su usluge instalirane, kako to učiniti? Gdje mogu naći Datum stvaranja za određenu uslugu u registru sustava Windows?

    Kako ste pronašli Datum stvaranja ili Datum zadnje izmjene za usluge u sustavu Windows?

    Odgovor

    SuperUser suradnici Flyk i Andrew Medico imaju odgovor za nas. Prvo, Flyk:

    Nema načina da se odredi Datum stvaranja za određenu Windows uslugu, jer i applet usluga i Windows registar ne pohranjuju nikakve datume vezane uz stvaranje.

    Međutim, postoji a Datum zadnje izmjene koji je skriven od pogleda (čak iu uređivaču registra sustava Windows), ali mu se može pristupiti pomoću programa RegQueryInfoKey. Budući da su sve Windows usluge pohranjene u registru, možete provjeriti Datum zadnje izmjene na ključeve registra koji se odnose na dotičnu uslugu pregledavanjem HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Alternativno, ako izvezete ključeve registra koje želite informacije kao tekstualnu datoteku, vidjet ćete Datum zadnje izmjene za svaku tipku je napisano u tekstualnoj datoteci.

    Konačno, rješenje pomoću PowerShell-a za vraćanje Datum zadnje izmjene već se raspravljalo o prelijevanju stogova.

    Slijedi odgovor Andrew Medico:

    Počevši od Viste, kreiranje usluge se bilježi na Dnevnik događaja sustava pod, ispod ID događaja za upravljanje uslugama 7045.

    Na primjer, sljedeća naredba:

    Izrađen je sljedeći unos dnevnika događaja:

    Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.

    Kako pronaći Windows 7 ili 8 Homegroup lozinku?
    Kako prisiliti Google Chrome da koristi HTTPS umjesto HTTP-a kad god je to moguće?
    Kako ćete saznati koji je ventilator računala glasan?
    Sljedeći članak
    Kako pronaći izvorni izvor slike?
    Prethodni članak
    Kako ste pronašli IP adresu drugog računala izravno spojen na prvi putem Ethernet?