Startseite » wie man » Wie finden Sie das Datum der letzten Änderung für Dienste in Windows?

    Wie finden Sie das Datum der letzten Änderung für Dienste in Windows?

    Wenn Sie ein kompromittiertes Windows-System haben und analysieren möchten, wann Dienste installiert oder geändert wurden, wie gehen Sie dann vor? Der heutige SuperUser-Q & A-Beitrag enthält die Antworten auf die Frage eines neugierigen Lesers.

    Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.

    Notepad-Screenshot mit freundlicher Genehmigung von Flyk (SuperUser).

    Die Frage

    SuperUser-Leser Lucas Kauffman möchte wissen, wie er das findet Erstellungsdatum (oder Zuletzt geändertes Datum) für Dienste in Windows:

    Wenn Sie ein kompromittiertes Betriebssystem haben, das Sie für neu installierte Dienste analysieren möchten oder wenn Dienste installiert wurden, wie gehen Sie dann vor? Wo finde ich das? Erstellungsdatum für einen bestimmten Dienst in der Windows-Registrierung?

    Wie findest du das? Erstellungsdatum oder Zuletzt geändertes Datum für Dienste in Windows?

    Die Antwort

    Die SuperUser-Mitwirkenden Flyk und Andrew Medico haben die Antwort für uns. Zunächst einmal, Flyk:

    Es gibt keine Möglichkeit, das zu bestimmen Erstellungsdatum Für einen bestimmten Windows-Dienst werden im Dienst-Applet und in der Windows-Registrierung keine mit der Erstellung verbundenen Daten gespeichert.

    Es gibt jedoch eine Zuletzt geändertes Datum Das ist nicht sichtbar (auch im Windows-Registrierungseditor), aber es kann mit RegQueryInfoKey darauf zugegriffen werden. Da alle Windows-Dienste in der Registrierung gespeichert sind, können Sie das überprüfen Zuletzt geändertes Datum gegen die Registrierungsschlüssel, die sich auf den betreffenden Dienst beziehen, indem Sie in suchen HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

    Wenn Sie alternativ die Registrierungsschlüssel exportieren, zu denen Sie Informationen als Textdatei wünschen, wird das angezeigt Zuletzt geändertes Datum für jeden Schlüssel wird in die Textdatei geschrieben.

    Schließlich eine Lösung, die PowerShell verwendet, um die Zuletzt geändertes Datum wurde bereits beim Stack Overflow besprochen.

    Gefolgt von der Antwort von Andrew Medico:

    Beginnend mit Vista wird die Diensterstellung in der Systemereignisprotokoll unter Dienststeuerungs-Manager-Ereignis-ID 7045.

    Zum Beispiel den folgenden Befehl:

    Produzierte den folgenden Ereignisprotokolleintrag:

    Haben Sie der Erklärung etwas hinzuzufügen? Sound off in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.

    Wie finden Sie Ihr Windows 7 oder 8 Homegroup-Kennwort?
    Wie erzwingen Sie, dass Google Chrome möglichst HTTP anstelle von HTTP verwendet?
    Wie stellen Sie fest, welcher Computerfan laut ist?
    Nächste Artikel
    Wie finden Sie die Originalquelle eines Bildes?
    Vorheriger Artikel
    Wie finden Sie die IP-Adresse eines zweiten Computers, der direkt über Ethernet mit dem ersten Computer verbunden ist?