Если в скомпрометированной системе вы пытаетесь проанализировать вновь установленные службы или когда службы были установлены, как вы это делаете. Где я могу найти дату создания определенного сервиса в реестре Windows?
11
2 ответа
19
Невозможно определить дату создания для конкретной службы Windows, поскольку и апплет служб, и реестр Windows не хранят даты, относящиеся к созданию.
Однако существует дата последнего изменения, которая скрыта от просмотра (в том числе в редакторе реестра Windows), но к ней можно получить доступ с помощью RegQueryInfoKey. Поскольку все службы Windows хранятся в реестре, вы можете проверить дату последнего изменения по ключам реестра, связанным с рассматриваемой службой, просмотрев HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Кроме того, если вы экспортируете раздел (ы) реестра, для которого вы хотите получить информацию в виде текстового файла, дата последнего изменения каждого ключа записывается в текстовом файле.
7
Начиная с Vista, создание службы регистрируется в журнале событий "Система" под идентификатором события Service Control Manager 7045.
Например, следующая команда:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Произведена следующая запись в журнале событий:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem