Начална » как да » Как намирате датата „Последно модифицирано“ за услуги в Windows?

    Как намирате датата „Последно модифицирано“ за услуги в Windows?

    Ако имате компрометирана система на Windows и искате да анализирате, когато услугите са инсталирани или модифицирани, как ще го направите? Днешната публикация за въпроси и отговори SuperUser има отговори на един любопитен въпрос на читателя.

    Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

    Екранна снимка на Notepad, предоставена от Flyk (SuperUser).

    Въпроса

    Читателят на суперпотребителя Лукас Кауфман иска да знае как да намери Дата на създаване (или Последна промяна на датата) за услуги в Windows:

    Как да направите това, ако имате компрометирана операционна система, която се опитвате да анализирате за новоинсталирани услуги или когато услугите са инсталирани? Къде мога да намеря Дата на създаване за определена услуга в системния регистър на Windows?

    Как намирате Дата на създаване или Последна промяна на датата за услуги в Windows?

    Отговорът

    Сътрудниците на SuperUser Flyk и Andrew Medico имат отговор за нас. Първо, Flyk:

    Няма начин да се определи Дата на създаване за определена услуга на Windows, тъй като аплетът за услуги и системният регистър на Windows не съхраняват никакви дати, свързани със създаването.

    Има, обаче, a Последна промяна на датата който е скрит от изгледа (дори и в редактора на системния регистър на Windows), но може да бъде достъпен чрез RegQueryInfoKey. Тъй като всички услуги на Windows се съхраняват в системния регистър, можете да проверите Последна промяна на датата срещу ключовете на системния регистър, свързани с въпросната услуга, като погледнете HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Като алтернатива, ако експортирате ключовете на системния регистър, които искате информация като текстов файл, ще видите Последна промяна на датата за всеки клавиш се пише в текстовия файл.

    И накрая, решение, използващо PowerShell за връщане на Последна промяна на датата вече беше обсъдено на Stack Overflow.

    Следван от отговора на Андрю Медико:

    Започвайки с Vista, създаването на услугата се регистрира в Регистър на системните събития при Идентификационен номер на мениджъра за управление на услугата 7045.

    Например следната команда:

    Създаден е следният запис в регистъра на събитията:

    Имате ли какво да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.

    Как намирате паролата за Windows 7 или 8 Homegroup?
    Как принуждавате Google Chrome да използва HTTPS вместо HTTP, когато е възможно?
    Как да разберете кой Компютърни Вентилаторът е силен?
    Следваща статия
    Как намирате оригиналния източник на изображение?
    Предишна статия
    Как да намерите IP адреса на втори компютър, директно свързан с първия чрез Ethernet?