Mājas lapa » » Kā jūs atradīsiet pakalpojumu Windows pēdējo modificēto datumu?

    Kā jūs atradīsiet pakalpojumu Windows pēdējo modificēto datumu?

    Ja jums ir kompromitēta Windows sistēma un vēlaties analizēt, kad pakalpojumi ir instalēti vai modificēti, kā jūs to darāt? Šodienas SuperUser Q&A ziņojumam ir atbildes uz ziņkārīga lasītāja jautājumu.

    Šodienas jautājumu un atbilžu sesija mums dod pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienas orientēta Q & A tīmekļa vietņu grupa.

    Notepad ekrānuzņēmums pieklājīgi no Flyk (SuperUser).

    Jautājums

    SuperUser lasītājs Lucas Kauffman vēlas zināt, kā atrast Izveidošanas datums (vai Pēdējais grozītais datums) pakalpojumiem pakalpojumā Windows:

    Ja jums ir kompromitēta operētājsistēma, kuru mēģināt analizēt jaunizveidotajiem pakalpojumiem vai kad ir uzstādīti pakalpojumi, kā jūs to darāt? Kur es varu atrast Izveidošanas datums konkrētam pakalpojumam Windows reģistrā?

    Kā jūs atradīsiet Izveidošanas datums vai Pēdējais grozītais datums Windows pakalpojumiem?

    Atbilde

    SuperUser ziedotājiem Flyk un Andrew Medico ir atbilde. Pirmkārt, Flyk:

    Nav iespējams noteikt Izveidošanas datums konkrētam Windows pakalpojumam, jo ​​gan pakalpojumu sīklietotne, gan Windows reģistrs nesaglabā nevienu datumu, kas saistīts ar radīšanu.

    Tomēr ir Pēdējais grozītais datums kas ir paslēpta no skata (pat Windows reģistra redaktorā), bet to var piekļūt, izmantojot RegQueryInfoKey. Tā kā visi Windows pakalpojumi tiek saglabāti reģistrā, varat pārbaudīt Pēdējais grozītais datums pret reģistra atslēgām, kas saistītas ar attiecīgo pakalpojumu, aplūkojot HKEY_LOCAL_MACHINE SISTĒMA CurrentControlSet Pakalpojumi.

    Alternatīvi, ja eksportējat reģistra atslēgas, kurām vēlaties informāciju par teksta failu, jūs redzēsiet Pēdējais grozītais datums katram taustiņam ir rakstīts teksta failā.

    Visbeidzot, risinājums, kas izmanto PowerShell, lai atgrieztu Pēdējais grozītais datums jau ir apspriests Stack Overflow.

    Seko atbilde no Andrew Medico:

    Sākot ar Vista, pakalpojuma izveide tiek reģistrēta Sistēmas notikumu žurnāls zem Pakalpojumu kontroles vadītāja notikuma ID 7045.

    Piemēram, šāda komanda:

    Izveidoja šādu notikumu žurnāla ierakstu:

    Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.

    Kā jūs atradīsiet Windows 7 vai 8 mājas grupas paroli?
    Kā jūs piespiedu Google Chrome izmantot HTTPS HTTP vietā, kad vien iespējams?
    Kā jūs uzzināt, kurš datora ventilators ir skaļš?
    Nākamais raksts
    Kā atrast oriģinālo avota attēlu?
    Iepriekšējais raksts
    Kā jūs atrodat otrās datora, ko Ethernet pieslēdz tieši pirmajam, IP adresi?