Ja jums ir kompromitēta Windows sistēma un vēlaties analizēt, kad pakalpojumi tika instalēti vai modificēti, tad kā jūs to darāt? Šodienas SuperUser Q & A ziņai ir atbildes uz ziņkārīgo lasītāja jautājumu.
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
Notepad screenshot pieklājīgi no Flyk (SuperUser).
SuperUser lasītājs Lucas Kauffman vēlas uzzināt, kā atrast Izveidošanas datums (vai Pēdējais modificētais datums) pakalpojumiem Windows:
Ja jums ir kompromitēta operētājsistēma, kuru mēģināt analizēt jaunizveidotiem pakalpojumiem vai kad instalēti pakalpojumi, kā jūs to darāt? Kur es varu atrast Izveidošanas datums par konkrētu pakalpojumu Windows reģistrā?
Kā jūs atrast Izveidošanas datums vai Pēdējais modificētais datums par pakalpojumiem Windows?
SuperUser atbalstītāji Flyk un Andrew Medico ir atbilde mums. Pirmkārt, Flyk:
Nav iespējams noteikt Izveidošanas datums konkrētam Windows pakalpojumam, jo gan pakalpojumu aplets, gan Windows reģistrs neuzglabā datumus, kas saistīti ar radīšanu.
Tomēr ir a Pēdējais modificētais datums tas ir paslēpts prom no skata (pat Windows reģistra redaktorā), bet tam var piekļūt, izmantojot RegQueryInfoKey. Tā kā visi Windows pakalpojumi tiek glabāti reģistrā, varat pārbaudīt Pēdējais modificētais datums pret reģistra atslēgas, kas saistītas ar attiecīgo pakalpojumu, meklējot HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Alternatīvi, ja eksportējat reģistra atslēgas, kurām vēlaties informāciju par teksta failu, jūs redzēsiet Pēdējais modificētais datums par katru taustiņu ir rakstīts teksta failā.
Visbeidzot, risinājums, izmantojot PowerShell, lai atgrieztu Pēdējais modificētais datums jau ir apspriests par stack pārpildes.
Seko Andrew Medico atbilde:
Sākot ar Vista, pakalpojuma izveide ir reģistrēta pie Sistēmas notikumu žurnāls zem Pakalpojumu vadības menedžera notikuma ID 7045.
Piemēram, šāda komanda:
Izgatavojis šādu notikumu žurnāla ierakstu:
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
