손상된 시스템에서 새로 설치된 서비스를 분석하려고하거나 서비스가 설치된시기를 어떻게 분석합니까? Windows 레지스트리에서 특정 서비스의 작성 날짜를 어디에서 찾을 수 있습니까?
답변
서비스 애플릿과 Windows 레지스트리 모두 작성과 관련된 날짜를 저장하지 않으므로 특정 Windows 서비스의 작성 날짜를 판별 할 방법이 없습니다.
그러나 마지막 수정 날짜는보기에서 숨겨져 있지만 (Windows 레지스트리 편집기 포함) RegQueryInfoKey를 사용하여 액세스 할 수 있습니다 . 모든 Windows 서비스가 레지스트리에 저장되었으므로 해당 서비스와 관련된 레지스트리 키를 확인하여 마지막 수정 날짜를 확인할 수 있습니다.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
또는 정보를 원하는 레지스트리 키를 텍스트 파일로 내 보내면 각 키의 마지막 수정 날짜가 텍스트 파일에 기록됩니다.
마지막으로 PowerShell을 사용하여 마지막 수정 날짜를 반환 하는 솔루션에 대해서는 이미 스택 오버플로에서 설명했습니다 .
답변
Vista에서 서비스 생성은 Service Control Manager 이벤트 ID 7045의 “시스템”이벤트 로그에 기록됩니다.
예를 들어, 다음 명령은
C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS
다음과 같은 이벤트 로그 항목을 생성했습니다.
Log Name: System
Source: Service Control Manager
Date: 12/16/2014 3:00:00 PM
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: DOMAIN\username
Computer: WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.
Service Name: hello
Service File Name: notepad.exe
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem