侵害されたシステムで、新しくインストールされたサービスを分析しようとしている場合、またはサービスがインストールされたときに、どのようにそれを行いますか。Windowsレジストリ内の特定のサービスの作成日はどこで確認できますか?
侵害されたシステムで、新しくインストールされたサービスを分析しようとしている場合、またはサービスがインストールされたときに、どのようにそれを行いますか。Windowsレジストリ内の特定のサービスの作成日はどこで確認できますか?
回答:
サービスアプレットとWindowsレジストリの両方が作成に関連する日付を保存しないため、特定のWindowsサービスの作成日を決定する方法はありません。
ただし、(Windowsレジストリエディターを含む)ビューから隠されている最終変更日がありますが、RegQueryInfoKeyを使用してアクセスできます。すべてのWindowsサービスはレジストリに保存されているため、以下を調べることで、問題のサービスに関連するレジストリキーに対して最終変更日を確認できます。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
または、情報が必要なレジストリキーをテキストファイルとしてエクスポートすると、各キーの最終変更日がテキストファイルに書き込まれます。
最後に、PowerShellを使用して最終変更日を返すソリューションは、既にStack Overflowで説明されています。
Vista以降、サービスの作成は、サービスコントロールマネージャーイベントID 7045の下の「システム」イベントログに記録されます。
たとえば、次のコマンド:
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
次のイベントログエントリを作成しました。
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem