Homepage » come » Come si trova la data Ultima modifica per i servizi in Windows?

    Come si trova la data Ultima modifica per i servizi in Windows?

    Se si dispone di un sistema Windows compromesso e si desidera analizzare quando i servizi sono stati installati o modificati, come si fa? Il post di Q & A di SuperUser di oggi ha le risposte alla domanda di un lettore curioso.

    La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte basato sulla comunità.

    Schermata del blocco note per gentile concessione di Flyk (SuperUser).

    La domanda

    Il lettore SuperUser Lucas Kauffman vuole sapere come trovare il Data di creazione (o Data ultima modifica) per i servizi in Windows:

    Se si dispone di un sistema operativo compromesso che si sta tentando di analizzare per i servizi appena installati o quando sono stati installati i servizi, come si fa? Dove posso trovare il Data di creazione per un particolare servizio nel registro di Windows?

    Come trovi il Data di creazione o Data ultima modifica per servizi in Windows?

    La risposta

    Collaboratori SuperUser Flyk e Andrew Medico hanno la risposta per noi. Prima di tutto, Flyk:

    Non c'è modo di determinare il Data di creazione per un particolare servizio di Windows in quanto sia l'applet dei servizi che il registro di Windows non memorizzano alcuna data relativa alla creazione.

    C'è, tuttavia, a Data ultima modifica che è nascosto lontano dalla vista (anche nell'editor del Registro di sistema di Windows), ma è possibile accedervi utilizzando RegQueryInfoKey. Poiché tutti i servizi Windows sono memorizzati nel registro, è possibile controllare Data ultima modifica contro le chiavi del registro relative al servizio in questione, cercando in HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    In alternativa, se si esportano le chiavi del Registro di sistema che si desiderano informazioni come file di testo, verrà visualizzato il Data ultima modifica per ogni chiave è scritto nel file di testo.

    Infine, una soluzione che utilizza PowerShell per restituire il Data ultima modifica è già stato discusso su Stack Overflow.

    Seguito dalla risposta di Andrew Medico:

    A partire da Vista, la creazione del servizio viene registrata su Registro eventi di sistema sotto Event Control Manager ID evento 7045.

    Ad esempio, il seguente comando:

    Prodotto la seguente voce del registro eventi:

    Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.

    Come si trova la password di Windows 7 o 8 del gruppo Home?
    Come imponi a Google Chrome di utilizzare HTTPS anziché HTTP ogni volta che è possibile?
    Come si fa a scoprire quale ventilatore del computer è rumoroso?
    Articolo successivo
    Come si trova la fonte originale di un'immagine?
    Articolo precedente
    Come si trova l'indirizzo IP di un secondo computer collegato direttamente al primo tramite Ethernet?