Ako imate ugroženi sustav Windows i želite analizirati kada su usluge instalirane ili izmijenjene, kako to učiniti? Danas SuperUser Q & A post ima odgovore na pitanje čudnog čitatelja.
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
Snimak zaslona Notepada ljubaznošću Flyk (SuperUser).
Čitač SuperUser Lucas Kauffman želi znati kako pronaći Datum stvaranja (ili Zadnji izmijenjeni datum) za usluge u sustavu Windows:
Ako imate kompromitiran operativni sustav koji pokušavate analizirati za novo instalirane usluge ili kada su usluge instalirane, kako to učiniti? Gdje mogu pronaći Datum stvaranja za određenu uslugu u registru sustava Windows?
Kako ste pronašli Datum stvaranja ili Zadnji izmijenjeni datum za usluge u sustavu Windows?
SuperKorisni suradnici Flyk i Andrew Medico imaju odgovor za nas. Prvo, Flyk:
Nema načina za određivanje Datum stvaranja za određenu Windows uslugu jer obje aplikacije za usluge i registar sustava Windows ne pohranjuju nikakve datume vezane uz stvaranje.
Postoji, međutim, a Zadnji izmijenjeni datum koji je skriven od pogleda (čak i u Windows registru editor), ali se može pristupiti koristeći RegQueryInfoKey. Budući da su sve Windows usluge pohranjene u registru, možete provjeriti Zadnji izmijenjeni datum protiv ključeva registra koji se odnose na dotičnu uslugu gledanjem HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Alternativno, ako izvezete ključeve registra koji želite informacije o tekstualnoj datoteci, vidjet ćete Zadnji izmijenjeni datum za svaki ključ je napisan u tekstualnoj datoteci.
Konačno, rješenje koje koristi PowerShell za povratak Zadnji izmijenjeni datum već je raspravljano o stack overflowu.
Slijedi odgovor Andrew Medico:
Počevši od Vidik, stvaranje usluge bilježi se u Zapisnik događaja sustava pod, ispod ID događaja upravitelja upravljanja uslugama 7045.
Na primjer, sljedeća naredba:
Izrađen je sljedeći unos zapisnika događaja:
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
