在Windows中查找服务创建日期？

如果在受感染的系统上，您尝试分析新安装的服务或安装了服务，那么您如何做到这一点。在哪里可以找到Windows注册表中某个服务的创建日期？

由于服务小程序和Windows注册表都不存储与创建相关的任何日期，因此无法确定特定Windows服务的创建日期。

但是，最后一个修改日期隐藏在视图之外（包括在Windows注册表编辑器中），但可以使用 RegQueryInfoKey 。由于存储在注册表中的所有Windows服务，您可以通过查看来检查与相关服务相关的注册表项的上次修改日期 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

或者，如果将要获取信息的注册表项导出为文本文件，则每个项的最后修改日期都将写入文本文件中。

最后，一个 已经在Stack Overflow上讨论了使用PowerShell返回上次修改日期的解决方案 。

从Vista开始，服务创建将记录到Service Control Manager事件ID 7045下的“系统”事件日志中。

例如，以下命令：

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

生成以下事件日志条目：

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem