Ако имате компрометирана система за Windows и искате да анализирате кога са били инсталирани или променени услугите, тогава как да направите това? Днешната публикация "SuperUser Q &A" има отговорите на въпроса на любознателен читател.
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Бележник на екрана, предоставен от Flyk (SuperUser).
Въпроса
Reader на SuperUser Лукас Кауфман иска да знае как да намери Дата на създаване (или Последна промяна на датата) за услуги в Windows:
If you have a compromised operating system that you are trying to analyze for newly installed services or when services were installed, how do you do that? Where can I find the Creation Date for a particular service in the Windows registry?
Как намирате Дата на създаване или Последна промяна на датата за услуги в Windows?
Отговорът
Сътрудниците на SuperUser Flyk и Andrew Medico имат отговор за нас. Първо, Flyk:
There is no way to determine the Creation Date for a particular Windows service as both the services applet and Windows registry do not store any dates related to creation.
There is, however, a Last Modified Date that is hidden away from view (even in the Windows registry editor), but it can be accessed using RegQueryInfoKey. Since all Windows services are stored in the registry, you can check the Last Modified Date against the registry keys related to the service in question by looking in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices.
Alternatively, if you export the registry keys you want information about as text file, you will see the Last Modified Date for each key is written in the text file.
Image
Finally, a solution using PowerShell to return the Last Modified Date has already been discussed on Stack Overflow.
Последвано от отговора на Андрю Медико:
Starting with Vista, service creation is logged to the System Event Log under Service Control Manager Event ID 7045.
For example, the following command:
Produced the following event log entry:Image
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
Какво правите, когато имате страхотно изображение, което сте изтеглили отдавна, но не можете да си спомните уебсайта, на който сте го намерили? Има ли лесни начини да намерите отново оригиналния уебсайт?
Има много начини да научите местоположението на компютъра от неговия IP адрес, но как да го направите, ако решите да използвате командния ред за намиране на информацията? Днешната публикация "SuperUser Q &A" има някои полезни предложения, за да помогне на читателя да намери информацията, която иска.
Промяната или разширяването на възможностите на Wi-Fi мрежата, която сте настроили в собствения си дом, е едно нещо, но какво правите, когато някой друг извърши инсталацията и направи изключителна работа да "скрие" маршрутизатора в дискретна, място извън мястото? Днешната публикация "SuperUser Q &A" има някои полезни предложения, които да помогнат на разочарования читател да намери неуловим рутер.
Настроили сте програмите, от които се нуждаете. Прозорците ви са подредени точно. След това нещо друго изисква вниманието ви и трябва да затворите. Няма проблем. Можете да накарате Ubuntu да запомни всичките ви изпълнявани приложения и да ги възстановите следващия път, когато влезете.
