Si usted tiene un sistema Windows comprometido y quiere analizar cuando se instalaron o modificar los servicios, entonces, ¿cómo hacerlo? De hoy superusuario Q & A anuncio con las respuestas a la pregunta de un lector curioso.
Pregunta y respuesta La sesión de hoy nos llega por cortesía de superusuario, una subdivisión de Stack Exchange, un grupo impulsado por la comunidad de Q & A sitios web.
Bloc de notas pantalla cortesía de Flyk (superusuario) .
La Pregunta
Lector de superusuario Lucas Kauffman quiere saber cómo encontrar la fecha de creación (oÚltima Fecha de modificación ) para los servicios en Windows:
Si usted tiene un sistema operativo comprometida que está tratando de analizar por los servicios recién instalados o cuando se instalaron los servicios, ¿cómo se hace eso? ¿Dónde puedo encontrar la fecha de creaciónde un servicio especial en el registro de Windows?
¿Cómo se encuentra la fecha de creación o última Fecha de modificación de los servicios en Windows?
La Respuesta
Contribuyentes superusuario Flyk y Andrew Medico tienen la respuesta para nosotros. En primer lugar, Flyk:
No hay manera de determinar la fecha de creación de un servicio de Windows en particular ya que tanto el applet de los servicios y el registro de Windows no almacenan ningún fechas relacionadas con la creación.Hay, sin embargo, una fecha de la última actualización que está escondido de la vista (incluso en el editor del registro de Windows), pero se puede acceder mediante RegQueryInfoKey . Dado que todos los servicios de Windows se almacenan en el registro, se puede comprobar la Última Fecha de modificación contra las claves de registro relacionadas con el servicio en cuestión mirando en HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services .Alternativamente, si exporta las claves del registro que desea información sobre como archivo de texto, verá la Última Fecha de modificación para cada tecla se escribe en el archivo de texto.Por último, una solución utilizando PowerShell para devolver la Última Fecha de modificación ya se ha discutido en desbordamiento de pila .
Seguido por la respuesta de Andrew Medico:
Comenzando con Vista, la creación de servicios se registra en el registro de sucesos del sistema bajo ID Event Service Control Manager 7045 .Por ejemplo, el siguiente comando:Producida la siguiente entrada del registro de eventos:
Si tiene algo que añadir a la explicación? En off en los comentarios. ¿Quieres leer más respuestas de otros usuarios Stack Exchange conocedores de la tecnología? Echa un vistazo a el tema de discussion completo aquí .