Nếu trên một hệ thống bị xâm nhập, bạn đang cố gắng phân tích các dịch vụ mới được cài đặt hoặc khi các dịch vụ được cài đặt, làm thế nào để bạn làm điều đó. Tôi có thể tìm ngày tạo cho một dịch vụ nào đó trong sổ đăng ký Windows ở đâu?
Nếu trên một hệ thống bị xâm nhập, bạn đang cố gắng phân tích các dịch vụ mới được cài đặt hoặc khi các dịch vụ được cài đặt, làm thế nào để bạn làm điều đó. Tôi có thể tìm ngày tạo cho một dịch vụ nào đó trong sổ đăng ký Windows ở đâu?
Câu trả lời:
Không có cách nào để xác định ngày tạo cho một dịch vụ Windows cụ thể vì cả applet dịch vụ và sổ đăng ký Windows không lưu trữ bất kỳ ngày nào liên quan đến sáng tạo.
Tuy nhiên, có một ngày sửa đổi cuối cùng bị ẩn khỏi chế độ xem (bao gồm trong trình chỉnh sửa sổ đăng ký Windows) nhưng có thể được truy cập bằng RegQueryInfoKey . Vì tất cả các dịch vụ Windows được lưu trữ trong sổ đăng ký, bạn có thể kiểm tra Ngày sửa đổi lần cuối với các khóa đăng ký liên quan đến dịch vụ được đề cập bằng cách xem trongHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Ngoài ra, nếu bạn xuất (các) khóa đăng ký mà bạn muốn có thông tin dưới dạng tệp văn bản, ngày sửa đổi cuối cùng cho mỗi khóa được ghi trong tệp văn bản.
Cuối cùng, một giải pháp sử dụng PowerShell để trả về Ngày sửa đổi cuối cùng đã được thảo luận về Stack Overflow .
Bắt đầu từ Vista, việc tạo dịch vụ được ghi vào nhật ký sự kiện "Hệ thống" trong ID sự kiện Trình quản lý điều khiển dịch vụ 7045.
Ví dụ: lệnh sau:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Sản xuất mục nhật ký sự kiện sau:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem