Wie finden Sie das Datum der letzten Änderung für Dienste in Windows?



Wenn Sie ein kompromittiertes Windows-System haben und analysieren möchten, wann Dienste installiert oder geändert wurden, wie gehen Sie dann vor? Der heutige SuperUser Q&A-Post enthält die Antworten auf die Frage eines neugierigen Lesers.

Die heutige Frage-und-Antwort-Sitzung kommt mit freundlicher Genehmigung von SuperUser – einer Unterabteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q&A-Websites.





Screenshot des Notizblocks mit freundlicher Genehmigung von Flyk (SuperUser) .

Die Frage

SuperUser-Leser Lucas Kauffman will wissen, wie man die findet Erstellungsdatum (oder Zuletzt geändertes Datum ) für Dienste in Windows:



Wenn Sie ein kompromittiertes Betriebssystem haben, das Sie auf neu installierte Dienste untersuchen möchten oder wann Dienste installiert wurden, wie gehen Sie vor? Wo finde ich die Erstellungsdatum für einen bestimmten Dienst in der Windows-Registrierung?

Wie finden Sie die Erstellungsdatum oder Zuletzt geändertes Datum für Dienste in Windows?

Die Antwort

Die SuperUser-Mitarbeiter Flyk und Andrew Medico haben die Antwort für uns. Zuerst Flyk:



Es gibt keine Möglichkeit, die zu bestimmen Erstellungsdatum für einen bestimmten Windows-Dienst, da sowohl das Dienst-Applet als auch die Windows-Registrierung keine Erstellungsdaten speichern.

Es gibt jedoch a Zuletzt geändertes Datum das ist nicht sichtbar (sogar im Windows-Registrierungseditor), kann aber mit aufgerufen werden RegQueryInfoKey . Da alle Windows-Dienste in der Registry gespeichert sind, können Sie die Zuletzt geändertes Datum gegen die Registrierungsschlüssel, die sich auf den betreffenden Dienst beziehen, indem Sie in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices .

Alternativ, wenn Sie die Registrierungsschlüssel, über die Sie Informationen wünschen, als Textdatei exportieren, sehen Sie die Zuletzt geändertes Datum für jeden Schlüssel wird in die Textdatei geschrieben.

Endlich eine Lösung, die PowerShell verwendet, um die Zuletzt geändertes Datum wurde bereits diskutiert auf Stack Overflow .

Gefolgt von der Antwort von Andrew Medico:

Ab Vista wird die Diensterstellung im Systemereignisprotokoll unter Service Control Manager-Ereignis-ID 7045 .

Zum Beispiel der folgende Befehl:

Erzeugte den folgenden Ereignisprotokolleintrag:


Möchten Sie der Erklärung noch etwas hinzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Sehen Sie sich hier den vollständigen Diskussionsthread an .

WEITER LESEN
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
  • › Was ist MIL-SPEC Fallschutz?
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
Akemi Iwaya
Akemi Iwaya ist seit 2009 Teil des How-To Geek/LifeSavvy Media-Teams. Sie hat zuvor unter dem Pseudonym 'Asian Angel' geschrieben und war Lifehacker-Praktikantin, bevor sie zu How-To Geek/LifeSavvy Media kam. Sie wurde von ZDNet Worldwide als maßgebliche Quelle zitiert.
Vollständige Biografie lesen

Interessante Artikel