Jeśli masz skompromitowany system Windows i chcesz przeanalizować, kiedy usługi zostały zainstalowane lub zmodyfikowane, to jak to zrobić? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi na ciekawe pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.
Zrzut ekranu Notatnika dzięki uprzejmości Flyk (Superużytkownik).
Pytanie
Czytnik SuperUser Lucas Kauffman chce wiedzieć, jak znaleźć Data utworzenia (lub Data ostatniej modyfikacji) dla usług w systemie Windows:
Jeśli masz zhakowany system operacyjny, który próbujesz przeanalizować pod kątem nowo zainstalowanych usług lub kiedy usługi zostały zainstalowane, jak to zrobić? Gdzie mogę znaleźć Data utworzenia dla konkretnej usługi w rejestrze Windows?
Jak znaleźć Data utworzenia lub Data ostatniej modyfikacji dla usług w systemie Windows?
Odpowiedź
Współtwórcy SuperUser Flyk i Andrew Medico mają dla nas odpowiedź. Po pierwsze, Flyk:
Nie ma sposobu na określenie determine Data utworzenia dla konkretnej usługi systemu Windows, ponieważ zarówno aplet usług, jak i rejestr systemu Windows nie przechowują żadnych dat związanych z utworzeniem.
Jest jednak Data ostatniej modyfikacji który jest ukryty z dala od widoku (nawet w edytorze rejestru Windows), ale można uzyskać do niego dostęp za pomocą RegQueryInfoKey. Ponieważ wszystkie usługi systemu Windows są przechowywane w rejestrze, możesz sprawdzić Data ostatniej modyfikacji przeciwko kluczom rejestru związanym z daną usługą, szukając w HKEY_LOCAL_MACHINESYSTEMCurrentControlSetUsługi.
Alternatywnie, jeśli wyeksportujesz klucze rejestru, o których chcesz uzyskać informacje, jako plik tekstowy, zobaczysz Data ostatniej modyfikacji dla każdego klucza jest zapisany w pliku tekstowym.
Wreszcie rozwiązanie wykorzystujące PowerShell do zwrócenia Data ostatniej modyfikacji został już omówione na Stack Overflow.
Następnie odpowiedź od Andrew Medico:
Począwszy od Vista, tworzenie usługi jest rejestrowane w to Dziennik zdarzeń systemowych pod Identyfikator zdarzenia menedżera kontroli usług 7045.
Na przykład następujące polecenie:
Utworzono następujący wpis w dzienniku zdarzeń:
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.