Trouver la date de création du service dans Windows?

Si sur un système compromis vous essayez d'analyser les services nouvellement installés ou quand les services ont été installés, comment faites-vous cela. Où puis-je trouver la date de création d'un certain service dans le registre Windows?

Il n'y a aucun moyen de déterminer la date de création d'un service Windows particulier car l'applet de services et le registre Windows ne stockent aucune date relative aux créations.

Il existe cependant une dernière date de modification qui est masquée (y compris dans l'éditeur de registre Windows) mais accessible à l'aide de RegQueryInfoKey . Étant donné que tous les services Windows stockés dans le registre, vous pouvez vérifier la date de dernière modification par rapport aux clés de registre associées au service en question en consultantHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Si vous exportez la ou les clés de registre sur lesquelles vous souhaitez des informations sous forme de fichier texte, la dernière date de modification de chaque clé est également écrite dans le fichier texte.

Enfin, une solution utilisant PowerShell pour renvoyer la dernière date de modification a déjà été discutée sur Stack Overflow .

À partir de Vista, la création de service est enregistrée dans le journal des événements "Système" sous l'ID d'événement Service Control Manager 7045.

Par exemple, la commande suivante:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Produit l'entrée de journal des événements suivante:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem