¿Encuentra la fecha de creación del servicio en Windows?

12

Si en un sistema comprometido está intentando analizar servicios recién instalados o cuándo se instalaron los servicios, ¿cómo lo hace? ¿Dónde puedo encontrar la fecha de creación de un determinado servicio en el registro de Windows?

Lucas Kauffman
fuente

Respuestas:

21

No hay forma de determinar la fecha de creación de un servicio de Windows en particular, ya que tanto el applet de servicios como el registro de Windows no almacenan ninguna fecha relacionada con las creaciones.

Sin embargo, hay una última fecha de modificación que está oculta a la vista (incluso en el editor de registro de Windows) pero se puede acceder usando RegQueryInfoKey . Dado que todos los servicios de Windows almacenados en el registro, puede verificar la Fecha de última modificación con las claves de registro relacionadas con el servicio en cuestión al buscar enHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Alternativamente, si exporta la (s) clave (s) de registro sobre la que desea información como un archivo de texto, la última fecha de modificación para cada clave se escribe en el archivo de texto.

ingrese la descripción de la imagen aquí

Finalmente, una solución que usa PowerShell para devolver la última fecha de modificación ya se ha discutido en Stack Overflow .

Flyk
fuente
Por desgracia, esto no funciona para mí. No obtengo el último tiempo de escritura al exportar servicios
Chris F Carroll
9

A partir de Vista, la creación del servicio se registra en el registro de eventos "Sistema" en el ID de evento de Service Control Manager 7045.

Por ejemplo, el siguiente comando:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Produjo la siguiente entrada del registro de eventos:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem
nadie
fuente
¿Hay alguna forma de acceder a la entrada del registro de eventos desde el registro?
RoraΖ
No, son cosas separadas.
nadie