Trova la data di creazione del servizio in Windows?

Se su un sistema compromesso si sta tentando di analizzare i servizi appena installati o quando i servizi sono stati installati, come si fa. Dove posso trovare la data di creazione di un determinato servizio nel registro di Windows?

Non è possibile determinare la data di creazione di un determinato servizio Windows poiché sia ​​l'applet dei servizi che il registro di Windows non memorizzano alcuna data relativa alle creazioni.

Vi è, tuttavia, una data dell'ultima modifica che è nascosta alla vista (incluso nell'editor del registro di Windows) ma è possibile accedervi utilizzando RegQueryInfoKey . Poiché tutti i servizi di Windows sono memorizzati nel registro, è possibile verificare la Data ultima modifica rispetto alle chiavi di registro relative al servizio in questione cercando inHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

In alternativa, se si esportano le chiavi di registro su cui si desiderano informazioni come file di testo, la data dell'ultima modifica per ciascuna chiave viene scritta nel file di testo.

Infine, una soluzione che utilizza PowerShell per restituire la data dell'ultima modifica è già stata discussa su StackTranslate.it .

A partire da Vista, la creazione del servizio viene registrata nel registro eventi "Sistema" in ID evento 7045 di Control Control Manager.

Ad esempio, il seguente comando:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Ha prodotto la seguente voce del registro eventi:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem