Если в скомпрометированной системе вы пытаетесь проанализировать вновь установленные службы или когда службы были установлены, как вы это делаете. Где я могу найти дату создания определенной службы в реестре Windows?
Найти дату создания сервиса в Windows?
Ответы:
Невозможно определить дату создания для конкретной службы Windows, поскольку и апплет служб, и реестр Windows не хранят даты, относящиеся к созданию.
Однако есть дата последнего изменения, которая скрыта от просмотра (в том числе в редакторе реестра Windows), но доступ к ней можно получить с помощью RegQueryInfoKey . Поскольку все службы Windows хранятся в реестре, вы можете проверить дату последнего изменения по ключам реестра, связанным с рассматриваемой службой, просмотревHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
В качестве альтернативы, если вы экспортируете разделы реестра, для которых вы хотите получить информацию в виде текстового файла, дата последнего изменения каждого ключа записывается в текстовом файле.
Увы, это не работает для меня. У меня нет времени последней записи при экспорте услуг
—
Крис Ф. Кэрролл,
Начиная с Vista, создание службы регистрируется в журнале событий «Система» под идентификатором события Service Control Manager 7045.
Например, следующая команда:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Произведена следующая запись в журнале событий:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Есть ли способ получить доступ к записи журнала событий из реестра?
—
RoraΖ
Нет, это разные вещи.
—
никто не