Hemsida » hur » Hur hittar du senast ändrade datum för tjänster i Windows?

    Hur hittar du senast ändrade datum för tjänster i Windows?

    Om du har ett kompromissat Windows-system och vill analysera när tjänster installerades eller modifierades, hur gör du det då? Dagens SuperUser Q & A-inlägg har svaren på en nyfiken läsarens fråga.

    Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

    Notepad skärmdump med tillstånd av Flyk (SuperUser).

    Frågan

    SuperUser-läsare Lucas Kauffman vill veta hur man hittar Skapelsedagen (eller Senast ändrad datum) för tjänster i Windows:

    Om du har ett kompromissat operativsystem som du försöker analysera för nyinstallerade tjänster eller när tjänster installerades, hur gör du det? Var kan jag hitta Skapelsedagen för en viss tjänst i Windows-registret?

    Hur hittar du Skapelsedagen eller Senast ändrad datum för tjänster i Windows?

    Svaret

    SuperUser-bidragsgivare Flyk och Andrew Medico har svaret för oss. Först, Flyk:

    Det finns inget sätt att bestämma Skapelsedagen för en viss Windows-tjänst, eftersom både applets och Windows-registret inte lagrar några datum relaterade till skapandet.

    Det finns dock en Senast ändrad datum som är gömd från synvinkel (även i Windows registry editor), men det kan nås med RegQueryInfoKey. Eftersom alla Windows-tjänster är lagrade i registret kan du kontrollera Senast ändrad datum mot registernycklarna relaterade till den aktuella tjänsten genom att titta in HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Alternativt kan du, om du exporterar registernycklarna som du vill ha information om som textfil, se Senast ändrad datum för varje nyckel är skrivet i textfilen.

    Slutligen, en lösning med PowerShell att returnera Senast ändrad datum har redan diskuterats på Stack Overflow.

    Följd av svaret från Andrew Medico:

    Starta med Vista, tjänsten skapas loggad till Systemhändelselogg under Service Control Manager Event ID 7045.

    Till exempel följande kommando:

    Producerade följande händelse logg post:

    Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.

    Hur hittar du ditt Windows 7 eller 8 hemgruppslösenord?
    Hur styrker du Google Chrome för att använda HTTPS istället för HTTP när det är möjligt?
    Hur hittar du ut vilken datorfläkt som är hög?
    Nästa artikel
    Hur hittar du den ursprungliga källan till en bild?
    Föregående artikel
    Hur hittar du IP-adressen till en andra dator som är direkt ansluten till den första av Ethernet?