Finden Sie das Erstellungsdatum des Dienstes in Windows?

Wenn Sie auf einem kompromittierten System versuchen, neu installierte Dienste zu analysieren, oder wenn Dienste installiert wurden, wie gehen Sie dabei vor? Wo finde ich das Erstellungsdatum für einen bestimmten Dienst in der Windows-Registrierung?

Es gibt keine Möglichkeit, das Erstellungsdatum für einen bestimmten Windows-Dienst zu bestimmen, da sowohl das Dienst-Applet als auch die Windows-Registrierung keine Erstellungsdaten speichern.

Es gibt jedoch ein Datum der letzten Änderung, das nicht angezeigt werden kann (auch im Windows-Registrierungseditor), auf das jedoch über RegQueryInfoKey zugegriffen werden kann . Da alle Windows-Dienste in der Registrierung gespeichert sind, können Sie das Datum der letzten Änderung anhand der Registrierungsschlüssel überprüfen, die sich auf den betreffenden Dienst beziehen, indem Sie nachsehenHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Wenn Sie alternativ die Registrierungsschlüssel exportieren, zu denen Sie Informationen als Textdatei benötigen, wird das Datum der letzten Änderung für jeden Schlüssel in die Textdatei geschrieben.

Schließlich wurde bereits eine Lösung mit PowerShell zur Rückgabe des Datums der letzten Änderung unter Stapelüberlauf erläutert .

Ab Vista wird die Serviceerstellung im Ereignisprotokoll "System" unter der Service Control Manager-Ereignis-ID 7045 protokolliert.

Zum Beispiel der folgende Befehl:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Der folgende Ereignisprotokolleintrag wurde erstellt:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem