Как узнать, в какой учетной записи установлена служба Windows?
Вы можете использовать wevtutil
для получения этой информации:
Получить информацию о журналах событий и издателях. Архивирование журналов в автономном формате, Перечисление доступных журналов, Установка и удаление манифестов событий, выполнение запросов, Экспорт событий (из журнала событий, из файла журнала или с использованием структурированного запроса) в указанный файл, Очистка журналов событий ,
Событие, которое вам нужно найти, - это событие с кодом 4697: в системе установлена служба.:
Новый сервис был установлен пользователем, указанным в теме. Субъект часто определяет локальную систему (SYSTEM) для служб, установленных как часть собственных компонентов Windows, и поэтому вы не можете определить, кто на самом деле инициировал установку.
Предмет:
Пользователь и сеанс входа, который выполнил действие.
- Идентификатор безопасности: SID учетной записи.
- Имя учетной записи: имя для входа в учетную запись.
- Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
- Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.
Служебная информация:
- Имя службы: внутреннее системное имя новой службы.Используйте "sc query", чтобы получить перекрестную ссылку на имена сервисов и их более привычные отображаемые имена.
Следующая команда покажет имя Account Name
для последней созданной службы:
wevtutil query-events System /count:1 /rd:true /format:text /q:"Event[System[(EventID=4697)]]"
Если вы создали службу с помощью команды sc create
, вам потребуется выполнить поиск по коду события: 7045 Источник: диспетчер управления службами и найти User Name
:
wevtutil query-events System /count:1 /rd:true /format:text /q:"Event[System[(EventID=7045)]]"
Пример:
> sc create Notepad binpath= c:\windows\system32\Notepad.exe
[SC] CreateService SUCCESS
> wevtutil query-events System /count:1 /rd:true /format:text /q:"Event[System[(EventID=7045)]]"
Event[0]:
Log Name: System
Source: Service Control Manager
Date: 2017-04-07T14:35:32.600
Event ID: 7045
Task: N/A
Level: Information
Opcode: N/A
Keyword: Classic
User: S-1-5-21-1699878757-1063190524-3119395976-1000
User Name: Hal\DavidPostill
Computer: Hal
Description:
A service was installed in the system.
Service Name: Notepad
Service File Name: c:\windows\system32\Notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Дальнейшее чтение