Hjemmeside » hvordan » Hvordan finder du 'Senest ændret' dato for tjenester i Windows?

    Hvordan finder du 'Senest ændret' dato for tjenester i Windows?

    Hvis du har et kompromitteret Windows-system og vil analysere, hvornår tjenester blev installeret eller ændret, hvordan gør du det? Dagens SuperUser Q & A indlæg har svar på en nysgerrig læsers spørgsmål.

    Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af ​​SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

    Notepad screenshot med tilladelse til Flyk (SuperUser).

    Spørgsmålet

    SuperUser læser Lucas Kauffman vil vide, hvordan man finder Oprettelsesdato (eller Senest ændret dato) for tjenester i Windows:

    Hvis du har et kompromitteret operativsystem, som du forsøger at analysere for nyinstallerede tjenester, eller når tjenester blev installeret, hvordan gør du det? Hvor kan jeg finde Oprettelsesdato til en bestemt tjeneste i Windows-registreringsdatabasen?

    Hvordan finder du den Oprettelsesdato eller Senest ændret dato for tjenester i Windows?

    Svaret

    SuperUser bidragydere Flyk og Andrew Medico har svaret for os. Først op, Flyk:

    Der er ingen måde at bestemme Oprettelsesdato til en bestemt Windows-tjeneste, da både applets og Windows-registreringsdatabasen ikke gemmer datoer relateret til oprettelsen.

    Der er dog en Senest ændret dato der er skjult væk fra visning (selv i Windows-registreringseditoren), men det kan fås ved hjælp af RegQueryInfoKey. Da alle Windows-tjenester er gemt i registreringsdatabasen, kan du tjekke Senest ændret dato mod registreringsdatabasenøglerne relateret til den pågældende tjeneste ved at kigge ind HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Alternativt kan du se, hvis du eksporterer registreringsdatabasenøglerne, du vil have information om som tekstfil Senest ændret dato for hver nøgle er skrevet i tekstfilen.

    Endelig en løsning, der bruger PowerShell til at returnere Senest ændret dato er allerede blevet diskuteret på Stack Overflow.

    Efterfulgt af svaret fra Andrew Medico:

    Start med Vista, oprettes serviceoprettelsen til System Event Log under Service Control Manager Event ID 7045.

    F.eks. Følgende kommando:

    Producerede følgende hændelseslogbog:

    Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.

    Hvordan finder du dit Windows 7 eller 8 homegroup kodeord?
    Hvordan styrker du Google Chrome til at bruge HTTPS i stedet for HTTP, når det er muligt?
    Hvordan finder du ud af, hvilken computer fan er høj?
    Næste artikel
    Hvordan finder du den oprindelige kilde til et billede?
    Forrige artikel
    Hvordan finder du IP-adressen på en anden computer, der er direkte forbundet med den første af Ethernet?