Windowsでサービスの作成日を見つけますか？

侵害されたシステムで、新しくインストールされたサービスを分析しようとしている場合、またはサービスがインストールされたときに、どのようにそれを行いますか。Windowsレジストリ内の特定のサービスの作成日はどこで確認できますか？

サービスアプレットとWindowsレジストリの両方が作成に関連する日付を保存しないため、特定のWindowsサービスの作成日を決定する方法はありません。

ただし、（Windowsレジストリエディターを含む）ビューから隠されている最終変更日がありますが、RegQueryInfoKeyを使用してアクセスできます。すべてのWindowsサービスはレジストリに保存されているため、以下を調べることで、問題のサービスに関連するレジストリキーに対して最終変更日を確認できます。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

または、情報が必要なレジストリキーをテキストファイルとしてエクスポートすると、各キーの最終変更日がテキストファイルに書き込まれます。

最後に、PowerShellを使用して最終変更日を返すソリューションは、既にStack Overflowで説明されています。

Vista以降、サービスの作成は、サービスコントロールマネージャーイベントID 7045の下の「システム」イベントログに記録されます。

たとえば、次のコマンド：

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

次のイベントログエントリを作成しました。

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem