Güvenliği ihlal edilmiş bir sistemde yeni yüklenen hizmetleri veya hizmetlerin ne zaman kurulduğunu analiz etmeye çalışıyorsanız, bunu nasıl yaparsınız. Windows kayıt defterinde belirli bir hizmetin oluşturulma tarihini nerede bulabilirim?
Güvenliği ihlal edilmiş bir sistemde yeni yüklenen hizmetleri veya hizmetlerin ne zaman kurulduğunu analiz etmeye çalışıyorsanız, bunu nasıl yaparsınız. Windows kayıt defterinde belirli bir hizmetin oluşturulma tarihini nerede bulabilirim?
Yanıtlar:
Hem hizmetler uygulaması hem de Windows kayıt defteri, kreasyonlarla ilgili herhangi bir tarih saklamadığından, belirli bir Windows hizmetinin oluşturulma tarihini belirlemenin bir yolu yoktur.
Ancak, görünümden uzakta (Windows kayıt defteri düzenleyicisi de dahil olmak üzere) gizlenen ancak RegQueryInfoKey kullanılarak erişilebilen son değiştirilme tarihi vardır . Kayıt defterinde depolanan tüm Windows hizmetleri olduğundan, söz konusu hizmetle ilgili kayıt defteri anahtarlarına göre Son Değiştirme Tarihi'niHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Alternatif olarak, bilgi almak istediğiniz kayıt defteri anahtarlarını bir metin dosyası olarak dışa aktarırsanız, her anahtarın son değiştirilme tarihi metin dosyasına yazılır.
Son olarak, Son Değiştirme Tarihi'ni döndürmek için PowerShell kullanan bir çözüm Yığın Taşması üzerinde zaten tartışılmıştır .
Vista'dan başlayarak, hizmet oluşturma, Service Control Manager olay kimliği 7045 altındaki "Sistem" olay günlüğüne kaydedilir.
Örneğin, aşağıdaki komut:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
Aşağıdaki olay günlüğü girdisini üretti:
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem