Jika Anda memiliki sistem Windows yang dikompromikan dan ingin menganalisis ketika layanan dipasang atau dimodifikasi, lalu bagaimana Anda melakukannya? Posting SuperUser Q & A saat ini memiliki jawaban atas pertanyaan pembaca yang ingin tahu.
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Screenshot Notepad milik Flyk (SuperUser).
Pembaca Super User, Lucas Kauffman ingin tahu bagaimana cara menemukan Tanggal Penciptaan (atau Last Modified Date) untuk layanan di Windows:
Jika Anda memiliki sistem operasi yang disusupi yang Anda coba analisis untuk layanan yang baru dipasang atau ketika layanan diinstal, bagaimana Anda melakukannya? Di mana saya dapat menemukan Tanggal Penciptaan untuk layanan tertentu di registri Windows?
Bagaimana Anda menemukan Tanggal Penciptaan atau Last Modified Date untuk layanan di Windows?
Kontributor Superuser, Flyk dan Andrew Medico memiliki jawabannya untuk kami. Pertama, Flyk:
Tidak ada cara untuk menentukan Tanggal Penciptaan untuk layanan Windows tertentu baik sebagai applet layanan dan registri Windows tidak menyimpan tanggal yang terkait dengan pembuatan.
Namun ada, a Last Modified Date yang tersembunyi dari pandangan (bahkan dalam editor registri Windows), tetapi dapat diakses menggunakan RegQueryInfoKey. Karena semua layanan Windows disimpan dalam registri, Anda dapat memeriksa Last Modified Date terhadap kunci registri yang terkait dengan layanan tersebut dengan mencari tahu HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.
Alternatifnya, jika Anda mengekspor kunci registri yang Anda inginkan informasinya sebagai file teks, Anda akan melihat Last Modified Date untuk setiap kunci ditulis dalam file teks.
Akhirnya, solusi menggunakan PowerShell untuk mengembalikan Last Modified Date telah dibahas pada Stack Overflow.
Dilanjutkan dengan jawaban dari Andrew Medico:
Dimulai dengan Vista, penciptaan layanan dicatat ke Log Peristiwa Sistem dibawah Service Control Manager ID Peristiwa 7045.
Misalnya, perintah berikut:
Menghasilkan entri log kejadian berikut:
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
