Windows에서 서비스 작성 날짜를 찾으십니까?

손상된 시스템에서 새로 설치된 서비스를 분석하려고하거나 서비스가 설치된시기를 어떻게 분석합니까? Windows 레지스트리에서 특정 서비스의 작성 날짜를 어디에서 찾을 수 있습니까?

서비스 애플릿과 Windows 레지스트리 모두 작성과 관련된 날짜를 저장하지 않으므로 특정 Windows 서비스의 작성 날짜를 판별 할 방법이 없습니다.

그러나 마지막 수정 날짜는보기에서 숨겨져 있지만 (Windows 레지스트리 편집기 포함) RegQueryInfoKey를 사용하여 액세스 할 수 있습니다 . 모든 Windows 서비스가 레지스트리에 저장되었으므로 해당 서비스와 관련된 레지스트리 키를 확인하여 마지막 수정 날짜를 확인할 수 있습니다.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

또는 정보를 원하는 레지스트리 키를 텍스트 파일로 내 보내면 각 키의 마지막 수정 날짜가 텍스트 파일에 기록됩니다.

마지막으로 PowerShell을 사용하여 마지막 수정 날짜를 반환 하는 솔루션에 대해서는 이미 스택 오버플로에서 설명했습니다 .

Vista에서 서비스 생성은 Service Control Manager 이벤트 ID 7045의 "시스템"이벤트 로그에 기록됩니다.

예를 들어, 다음 명령은

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

다음과 같은 이벤트 로그 항목을 생성했습니다.

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem