Page d'accueil » comment » Comment trouvez-vous la date de «dernière modification» pour les services dans Windows?

    Comment trouvez-vous la date de «dernière modification» pour les services dans Windows?

    Si votre système Windows est compromis et que vous souhaitez analyser le moment où les services ont été installés ou modifiés, comment procédez-vous? Le message Q & R du SuperUser d'aujourd'hui contient les réponses à une question d'un lecteur curieux.

    La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

    Capture d'écran du Bloc-notes avec la permission de Flyk (SuperUser).

    La question

    Le lecteur superutilisateur Lucas Kauffman veut savoir comment trouver le Date de création (ou Date de dernière modification) pour les services sous Windows:

    Si vous essayez d'analyser un système d'exploitation compromis à la recherche de services nouvellement installés ou lorsque des services ont été installés, comment procédez-vous? Où puis-je trouver le Date de création pour un service particulier dans le registre Windows?

    Comment trouvez-vous le Date de création ou Date de dernière modification pour les services dans Windows?

    La réponse

    Les contributeurs de SuperUser, Flyk et Andrew Medico, ont la solution pour nous. D'abord, Flyk:

    Il n'y a aucun moyen de déterminer le Date de création pour un service Windows particulier car l'applet de services et le registre Windows ne stockent aucune date liée à la création.

    Il y a cependant un Date de dernière modification caché hors de la vue (même dans l’éditeur de registre Windows), mais vous pouvez y accéder à l’aide de RegQueryInfoKey. Tous les services Windows étant stockés dans le registre, vous pouvez vérifier la Date de dernière modification contre les clés de registre liées au service en question en regardant dans HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Si vous exportez les clés de registre sur lesquelles vous souhaitez des informations sous forme de fichier texte, vous verrez également Date de dernière modification pour chaque clé est écrit dans le fichier texte.

    Enfin, une solution utilisant PowerShell pour renvoyer le Date de dernière modification a déjà été discuté sur Stack Overflow.

    Suivi de la réponse de Andrew Medico:

    À partir de Vista, la création de service est enregistrée dans le Journal des événements système sous ID d'événement 7045 de Service Control Manager.

    Par exemple, la commande suivante:

    Produit l'entrée suivante du journal des événements:

    Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.

    Comment trouvez-vous votre mot de passe Windows 7 ou 8 pour les groupes de maison?
    Comment forcer Google Chrome à utiliser HTTPS au lieu de HTTP autant que possible?
    Comment trouvez-vous quel fan d'ordinateur est bruyant?
    Article suivant
    Comment trouvez-vous la source d'origine d'une image?
    Article précédent
    Comment trouvez-vous l'adresse IP d'un deuxième ordinateur directement connecté au premier par Ethernet?