Si en un sistema comprometido está intentando analizar servicios recién instalados o cuándo se instalaron los servicios, ¿cómo lo hace? ¿Dónde puedo encontrar la fecha de creación de un determinado servicio en el registro de Windows?
No hay forma de determinar la fecha de creación de un servicio de Windows en particular, ya que tanto el applet de servicios como el registro de Windows no almacenan ninguna fecha relacionada con las creaciones.
Sin embargo, hay una última fecha de modificación que está oculta a la vista (incluso en el editor de registro de Windows) pero se puede acceder usando RegQueryInfoKey . Dado que todos los servicios de Windows almacenados en el registro, puede verificar la Fecha de última modificación con las claves de registro relacionadas con el servicio en cuestión al buscar enHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Alternativamente, si exporta la (s) clave (s) de registro sobre la que desea información como un archivo de texto, la última fecha de modificación para cada clave se escribe en el archivo de texto.
Finalmente, una solución que usa PowerShell para devolver la última fecha de modificación ya se ha discutido en Stack Overflow .
A partir de Vista, la creación del servicio se registra en el registro de eventos "Sistema" en el ID de evento de Service Control Manager 7045.
Por ejemplo, el siguiente comando:
Produjo la siguiente entrada del registro de eventos:
fuente