Pagrindinis » kaip » Kaip rasti „Paskutinio modifikavimo“ datą paslaugoms „Windows“?

    Kaip rasti „Paskutinio modifikavimo“ datą paslaugoms „Windows“?

    Jei turite kompromisą „Windows“ sistemoje ir norite analizuoti, kada buvo įdiegtos ar modifikuotos paslaugos, kaip jūs tai darote? Šiandienos „SuperUser“ atsakymų ir atsakymų atsakymas yra įdomus skaitytojo klausimas.

    Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

    Užrašų užsklanda „Flyk“ („SuperUser“).

    Klausimas

    „SuperUser“ skaitytojas Lucas Kauffman nori sužinoti, kaip rasti Sukūrimo data (arba Paskutinė modifikavimo data) paslaugoms sistemoje „Windows“:

    Jei turite kompromisinę operacinę sistemą, kurią bandote analizuoti naujai įdiegtoms paslaugoms arba kai įdiegtos paslaugos, kaip tai padaryti? Kur galiu rasti Sukūrimo data tam tikros „Windows“ registro paslaugos?

    Kaip rasti Sukūrimo data arba Paskutinė modifikavimo data paslaugų Windows sistemoje?

    Atsakymas

    „SuperUser“ autoriai „Flyk“ ir „Andrew Medico“ atsako už mus. Pirma, „Flyk“:

    Nėra galimybės nustatyti Sukūrimo data tam tikrai „Windows“ paslaugai, nes tiek paslaugų programėlė, tiek „Windows“ registras nesaugo datos, susijusios su kūrimu.

    Tačiau yra Paskutinė modifikavimo data kuri yra paslėpta nuo peržiūros (net ir Windows registro redaktoriuje), tačiau ją galima pasiekti naudojant „RegQueryInfoKey“. Kadangi visos „Windows“ paslaugos yra saugomos registre, galite patikrinti Paskutinė modifikavimo data prieš registro raktus, susijusius su aptariama paslauga HKEY_LOCAL_MACHINE SISTEMA CurrentControlSet paslaugos.

    Arba, jei eksportuosite registro raktus, kuriuos norite gauti kaip tekstinį failą, pamatysite Paskutinė modifikavimo data kiekvienam raktui rašoma tekstiniame faile.

    Galiausiai, sprendimas, naudojant „PowerShell“ grįžti Paskutinė modifikavimo data jau aptartas „Stack Overflow“.

    Po to atsako Andrew Medico atsakymas:

    Pradedant nuo „Vista“, paslaugų kūrimas yra registruojamas Sistemos įvykių žurnalas pagal Paslaugų valdymo vadybininko įvykio ID 7045.

    Pavyzdžiui, ši komanda:

    Sukūrė šį įvykių žurnalo įrašą:

    Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.

    Kaip rasti „Windows 7“ arba „8“ namų grupės slaptažodį?
    Kaip priversti „Google Chrome“ naudoti HTTPS vietoj HTTP, kai tik įmanoma?
    Kaip sužinoti, kuris kompiuterio ventiliatorius yra garsus?
    Kitas straipsnis
    Kaip rasti originalų vaizdo šaltinį?
    Ankstesnis straipsnis
    Kaip surasite antrojo kompiuterio, tiesiogiai sujungto su pirmuoju, IP adresą?