Jeśli w zainfekowanym systemie próbujesz przeanalizować nowo zainstalowane usługi lub kiedy usługi zostały zainstalowane, jak to zrobić. Gdzie mogę znaleźć datę utworzenia określonej usługi w rejestrze systemu Windows?
Jeśli w zainfekowanym systemie próbujesz przeanalizować nowo zainstalowane usługi lub kiedy usługi zostały zainstalowane, jak to zrobić. Gdzie mogę znaleźć datę utworzenia określonej usługi w rejestrze systemu Windows?
Odpowiedzi:
Nie ma możliwości ustalenia daty utworzenia określonej usługi Windows, ponieważ zarówno aplet usług, jak i rejestr Windows nie przechowują żadnych dat związanych z tworzeniem.
Istnieje jednak data ostatniej modyfikacji, która jest ukryta (w tym w edytorze rejestru systemu Windows), ale można uzyskać do niej dostęp za pomocą RegQueryInfoKey . Ponieważ wszystkie usługi systemu Windows przechowywane w rejestrze, można sprawdzić datę ostatniej modyfikacji z kluczami rejestru związanymi z daną usługą, przeglądającHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Alternatywnie, jeśli eksportujesz klucze rejestru, o których chcesz uzyskać informacje, jako plik tekstowy, data ostatniej modyfikacji każdego klucza jest zapisywana w pliku tekstowym.
Począwszy od systemu Vista tworzenie usługi jest rejestrowane w dzienniku zdarzeń „System” pod identyfikatorem zdarzenia 7045 Menedżera sterowania usługami.
Na przykład następujące polecenie:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Utworzono następujący wpis dziennika zdarzeń:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem