ค้นหาวันที่สร้างบริการใน Windows?

หากในระบบที่ถูกบุกรุกคุณกำลังพยายามวิเคราะห์บริการที่ติดตั้งใหม่หรือเมื่อติดตั้งบริการแล้วคุณจะทำอย่างไร ฉันจะหาวันที่สร้างสำหรับบริการบางอย่างในรีจิสทรีของ Windows ได้ที่ไหน

ไม่มีวิธีกำหนดวันที่สร้างสำหรับบริการ Windows โดยเฉพาะเนื่องจากทั้งแอปเพล็ตบริการและรีจิสทรีของ Windows ไม่ได้จัดเก็บวันที่ใด ๆ ที่เกี่ยวข้องกับการสร้าง

มี แต่ที่ผ่านมาวันที่แก้ไขที่ถูกซ่อนอยู่ห่างจากมุมมอง (รวมทั้งในโปรแกรมแก้ไขรีจิสทรี Windows) แต่สามารถเข้าถึงได้โดยใช้RegQueryInfoKey เนื่องจากบริการ Windows ทั้งหมดที่เก็บไว้ในรีจิสทรีคุณสามารถตรวจสอบวันที่แก้ไขครั้งล่าสุดกับคีย์รีจิสทรีที่เกี่ยวข้องกับบริการที่เป็นปัญหาโดยดูที่HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

อีกวิธีหนึ่งถ้าคุณส่งออกคีย์รีจิสทรีที่คุณต้องการให้ข้อมูลเป็นไฟล์ข้อความวันที่แก้ไขล่าสุดสำหรับแต่ละคีย์จะถูกเขียนในไฟล์ข้อความ

ในที่สุดโซลูชันที่ใช้ PowerShell เพื่อส่งคืนวันที่แก้ไขล่าสุดได้ถูกกล่าวถึงใน Stack Overflowแล้ว

เริ่มต้นใน Vista การสร้างบริการจะถูกบันทึกลงในบันทึกเหตุการณ์ "ระบบ" ภายใต้ตัวจัดการควบคุมเหตุการณ์ ID 7045

ตัวอย่างเช่นคำสั่งต่อไปนี้:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

สร้างรายการบันทึกเหตุการณ์ต่อไปนี้:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem