Найти дату создания сервиса в Windows?

Если в скомпрометированной системе вы пытаетесь проанализировать вновь установленные службы или когда службы были установлены, как вы это делаете. Где я могу найти дату создания определенной службы в реестре Windows?

Невозможно определить дату создания для конкретной службы Windows, поскольку и апплет служб, и реестр Windows не хранят даты, относящиеся к созданию.

Однако есть дата последнего изменения, которая скрыта от просмотра (в том числе в редакторе реестра Windows), но доступ к ней можно получить с помощью RegQueryInfoKey . Поскольку все службы Windows хранятся в реестре, вы можете проверить дату последнего изменения по ключам реестра, связанным с рассматриваемой службой, просмотревHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

В качестве альтернативы, если вы экспортируете разделы реестра, для которых вы хотите получить информацию в виде текстового файла, дата последнего изменения каждого ключа записывается в текстовом файле.

Наконец, решение, использующее PowerShell для возврата даты последнего изменения, уже обсуждалось при переполнении стека .

Начиная с Vista, создание службы регистрируется в журнале событий «Система» под идентификатором события Service Control Manager 7045.

Например, следующая команда:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Произведена следующая запись в журнале событий:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem