Jika pada sistem yang dikompromikan Anda mencoba menganalisis layanan yang baru diinstal atau ketika layanan diinstal, bagaimana Anda melakukannya. Di mana saya dapat menemukan tanggal pembuatan untuk layanan tertentu di registri Windows?
Temukan tanggal pembuatan layanan di Windows?
Jawaban:
Tidak ada cara untuk menentukan tanggal pembuatan untuk layanan Windows tertentu karena applet layanan dan registri Windows tidak menyimpan tanggal yang berkaitan dengan kreasi.
Namun, ada tanggal modifikasi terakhir yang tersembunyi dari pandangan (termasuk dalam editor registri Windows) tetapi dapat diakses menggunakan RegQueryInfoKey . Karena semua layanan Windows yang disimpan dalam registri, Anda dapat memeriksa Tanggal Modifikasi Terakhir terhadap kunci registri yang terkait dengan layanan tersebut dengan melihatHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Atau, jika Anda mengekspor kunci registri yang Anda inginkan informasinya sebagai file teks, tanggal modifikasi terakhir untuk setiap kunci ditulis dalam file teks.
Sayangnya ini tidak bekerja untuk saya. Saya mendapatkan No Last Write Time ketika mengekspor Layanan
—
Chris F Carroll
Mulai di Vista, pembuatan layanan dicatat ke log peristiwa "Sistem" di bawah ID 7045.
Misalnya, perintah berikut:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Menghasilkan entri log peristiwa berikut:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Apakah ada cara untuk mengakses entri log peristiwa dari registri?
—
RoraΖ
Tidak, itu adalah hal-hal yang terpisah.
—
tidak ada yang