Znajdź datę utworzenia usługi w systemie Windows?

Jeśli w zainfekowanym systemie próbujesz przeanalizować nowo zainstalowane usługi lub kiedy usługi zostały zainstalowane, jak to zrobić. Gdzie mogę znaleźć datę utworzenia określonej usługi w rejestrze systemu Windows?

Nie ma możliwości ustalenia daty utworzenia określonej usługi Windows, ponieważ zarówno aplet usług, jak i rejestr Windows nie przechowują żadnych dat związanych z tworzeniem.

Istnieje jednak data ostatniej modyfikacji, która jest ukryta (w tym w edytorze rejestru systemu Windows), ale można uzyskać do niej dostęp za pomocą RegQueryInfoKey . Ponieważ wszystkie usługi systemu Windows przechowywane w rejestrze, można sprawdzić datę ostatniej modyfikacji z kluczami rejestru związanymi z daną usługą, przeglądającHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Alternatywnie, jeśli eksportujesz klucze rejestru, o których chcesz uzyskać informacje, jako plik tekstowy, data ostatniej modyfikacji każdego klucza jest zapisywana w pliku tekstowym.

Wreszcie, rozwiązanie wykorzystujące PowerShell do zwracania daty ostatniej modyfikacji zostało już omówione na temat przepełnienia stosu .

Począwszy od systemu Vista tworzenie usługi jest rejestrowane w dzienniku zdarzeń „System” pod identyfikatorem zdarzenia 7045 Menedżera sterowania usługami.

Na przykład następujące polecenie:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Utworzono następujący wpis dziennika zdarzeń:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem