Si, sur un système compromis, vous essayez d'analyser les services nouvellement installés ou la date d'installation des services, comment faire ? Où puis-je trouver la date de création d'un certain service dans le registre de Windows ?
Réponses
Trop de publicités?
Il n'existe aucun moyen de déterminer la date de création d'un service Windows particulier, car l'applet des services et le registre Windows ne stockent aucune date relative aux créations.
Il existe cependant une date de dernière modification qui est cachée (y compris dans l'éditeur de registre de Windows) mais à laquelle on peut accéder en utilisant la commande RegQueryInfoKey . Comme tous les services Windows sont stockés dans le registre, vous pouvez vérifier la date de dernière modification par rapport aux clés de registre liées au service en question en regardant dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Par ailleurs, si vous exportez la ou les clés de registre sur lesquelles vous souhaitez obtenir des informations sous forme de fichier texte, la date de dernière modification de chaque clé est écrite dans le fichier texte.
Shlomi Fish
Points
1951
À partir de Vista, la création du service est enregistrée dans le journal des événements "Système" sous l'ID d'événement 7045 du Gestionnaire de contrôle des services.
Par exemple, la commande suivante :
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESSA produit l'entrée suivante dans le journal des événements :
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
