Se si dispone di un sistema Windows compromesso e si desidera analizzare quando i servizi sono stati installati o modificati, come si fa? Il post di Q & A di SuperUser di oggi ha le risposte alla domanda di un lettore curioso.
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte basato sulla comunità.
Schermata del blocco note per gentile concessione di Flyk (SuperUser).
La domanda
Il lettore SuperUser Lucas Kauffman vuole sapere come trovare il Data di creazione (o Data ultima modifica) per i servizi in Windows:
If you have a compromised operating system that you are trying to analyze for newly installed services or when services were installed, how do you do that? Where can I find the Creation Date for a particular service in the Windows registry?
Come trovi il Data di creazione o Data ultima modifica per servizi in Windows?
La risposta
Collaboratori SuperUser Flyk e Andrew Medico hanno la risposta per noi. Prima su, Flyk:
There is no way to determine the Creation Date for a particular Windows service as both the services applet and Windows registry do not store any dates related to creation.
There is, however, a Last Modified Date that is hidden away from view (even in the Windows registry editor), but it can be accessed using RegQueryInfoKey. Since all Windows services are stored in the registry, you can check the Last Modified Date against the registry keys related to the service in question by looking in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices.
Alternatively, if you export the registry keys you want information about as text file, you will see the Last Modified Date for each key is written in the text file.
Image
Finally, a solution using PowerShell to return the Last Modified Date has already been discussed on Stack Overflow.
Seguito dalla risposta di Andrew Medico:
Starting with Vista, service creation is logged to the System Event Log under Service Control Manager Event ID 7045.
For example, the following command:
Produced the following event log entry:Image
Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.
Hai domande e abbiamo delle risposte. Questa settimana esamineremo le dimensioni delle allocazioni, modificando il menu contestuale del tasto destro e cambiando il colore della barra delle applicazioni.
Questo articolo ti mostrerà come cancellare, personalizzare, modificare o modificare il titolo "Start" della schermata iniziale di Windows 8 usando Resource Hacker.
Microsoft ti consente di collegare il tuo account Xbox Live a Facebook tramite l'app Xbox per Windows 10. Ora trova gli amici di Facebook su Xbox Live con l'app per Windows 10 per Xbox.
Il mio pannello dei servizi di Windows ti consente di creare un collegamento ai servizi di Windows che utilizzi frequentemente e non è necessario sfogliare lunghi elenchi di servizi installati.
Suggerimenti e caratteristiche del registro di Windows. Scopri come aprire, accedere, utilizzare Regedit e modificare, modificare, salvare, eseguire il backup, importare, esportare chiavi e sottochiavi del Registro di sistema.
