Якщо в компрометованій системі ви намагаєтеся проаналізувати нещодавно встановлені сервіси або коли були встановлені служби, як це зробити. Де я можу знайти дату створення певної послуги в реєстрі Windows?
Якщо в компрометованій системі ви намагаєтеся проаналізувати нещодавно встановлені сервіси або коли були встановлені служби, як це зробити. Де я можу знайти дату створення певної послуги в реєстрі Windows?
Відповіді:
Немає можливості визначити дату створення для певної служби Windows, оскільки і аплет служби, і реєстр Windows не зберігають дат, що стосуються творінь.
Однак є остання змінена дата, яка прихована від перегляду (в тому числі в редакторі реєстру Windows), але доступ до неї можна отримати за допомогою RegQueryInfoKey . Оскільки всі служби Windows, що зберігаються в реєстрі, ви можете перевірити дату останньої модифікації щодо ключів реєстру, пов’язаних із цією службою, переглянувшиHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Крім того, якщо ви експортуєте ключ (и) реєстру, на який ви хочете отримати інформацію як текстовий файл, остання змінена дата для кожного ключа записується у текстовий файл.
Починаючи з Vista, створення служби записується до журналу подій "Система" під ідентифікатором події 7045 Service Control Manager.
Наприклад, наступна команда:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Здійснено наступний запис журналу подій:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem