Trang chủ » làm thế nào để » Làm thế nào để bạn tìm thấy ngày 'Sửa đổi lần cuối' cho các dịch vụ trong Windows?

    Làm thế nào để bạn tìm thấy ngày 'Sửa đổi lần cuối' cho các dịch vụ trong Windows?

    Nếu bạn có một hệ thống Windows bị xâm nhập và muốn phân tích khi các dịch vụ được cài đặt hoặc sửa đổi, thì bạn phải làm thế nào? Bài hỏi và trả lời của SuperUser hôm nay có câu trả lời cho câu hỏi của người đọc tò mò.

    Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ sự hỗ trợ của SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng điều khiển.

    Ảnh chụp màn hình Notepad lịch sự của Flyk (SuperUser).

    Câu hỏi

    Độc giả siêu người dùng Lucas Kauffman muốn biết cách tìm Ngày thành lập (hoặc là Ngày sửa đổi cuối cùng) cho các dịch vụ trong Windows:

    Nếu bạn có một hệ điều hành bị xâm nhập mà bạn đang cố gắng phân tích cho các dịch vụ mới được cài đặt hoặc khi các dịch vụ được cài đặt, làm thế nào để bạn làm điều đó? Tôi có thể tìm ở đâu Ngày thành lập cho một dịch vụ cụ thể trong sổ đăng ký Windows?

    Làm thế nào để bạn tìm thấy Ngày thành lập hoặc là Ngày sửa đổi cuối cùng cho các dịch vụ trong Windows?

    Câu trả lời

    Những người đóng góp cho SuperUser Flyk và Andrew Medico có câu trả lời cho chúng tôi. Đầu tiên, Flyk:

    Không có cách nào để xác định Ngày thành lập đối với một dịch vụ Windows cụ thể vì cả applet dịch vụ và Windows registry đều không lưu trữ bất kỳ ngày nào liên quan đến việc tạo.

    Tuy nhiên, có một Ngày sửa đổi cuối cùng được ẩn khỏi chế độ xem (ngay cả trong trình soạn thảo sổ đăng ký Windows), nhưng nó có thể được truy cập bằng RegQueryInfoKey. Vì tất cả các dịch vụ Windows được lưu trữ trong sổ đăng ký, bạn có thể kiểm tra Ngày sửa đổi cuối cùng chống lại các khóa đăng ký liên quan đến dịch vụ được đề cập bằng cách nhìn vào HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Services.

    Ngoài ra, nếu bạn xuất các khóa đăng ký mà bạn muốn có thông tin dưới dạng tệp văn bản, bạn sẽ thấy Ngày sửa đổi cuối cùng cho mỗi khóa được ghi trong tệp văn bản.

    Cuối cùng, một giải pháp sử dụng PowerShell để trả về Ngày sửa đổi cuối cùng đã được thảo luận về Stack Overflow.

    Tiếp theo là câu trả lời từ Andrew Medico:

    Bắt đầu với Vista, việc tạo dịch vụ được ghi vào Nhật ký sự kiện hệ thống Dưới Trình quản lý điều khiển dịch vụ ID 7045.

    Ví dụ: lệnh sau:

    Đã tạo mục nhập nhật ký sự kiện sau:


    Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.