Как узнать, какое программное обеспечение установило службу Windows и когда: полный разбор с журналом событий
Большинство программ при установке в Windows создают собственные службы для работы в фоновом режиме. Со временем таких служб становится много, и у пользователей возникает закономерный вопрос: как определить, какое программное обеспечение установило ту или иную службу Windows, когда это произошло и где посмотреть лог всех событий, связанных с этой установкой? Ответ на этот вопрос значительно помогает в обеспечении безопасности и чистоты операционной системы.
Почему важно знать, кто установил службу Windows
Понимание источника службы помогает:
- выявить подозрительные процессы и потенциально нежелательные программы;
- очистить систему от неиспользуемых или вредоносных служб;
- повысить производительность компьютера;
- своевременно реагировать на возможные угрозы.
Как определить, какое ПО установило службу Windows
1. Смотрим свойства службы
Для этого:
- Откройте команду Win+R, введите services.msc и нажмите Enter.
- В списке служб найдите интересующую службу, кликните по ней правой кнопкой мыши и выберите «Свойства».
- В поле «Путь к исполняемому файлу» или «Имя файла» (на вкладке «Общие») вы найдете путь к EXE-файлу, который запускает службу.
- По пути переходите в папку — обычно она содержит имя программы или компании-производителя.
2. Используем PowerShell или Командную строку
Команда для вывода всех служб с путями к их исполняемым файлам:
sc queryex type= service | findstr SERVICE_NAME
или
Get-WmiObject win32_service | Select-Object Name, DisplayName, PathName
Эти команды помогут собрать список всех служб и связанных с ними файлов. Дальше, анализируя путь, можно понять, какому программному обеспечению принадлежит служба.
3. Проверяем цифровую подпись
- Находите исполняемый файл службы.
- Кликаете по нему правой кнопкой мыши — «Свойства», вкладка «Цифровые подписи».
- Здесь будет указан издатель. Это еще раз подтвердит происхождение службы.
Как узнать время установки службы
К сожалению, Windows изначально не хранит в явном виде дату появления каждой службы. Однако, есть несколько обходных путей:
- Дата создания исполняемого файла: Переходите в папку с файлом службы, открываете его свойства — вкладка «Общие» — смотрите дату создания. Это приблизительное время установки.
- Время появления ключей в реестре: Службы регистрируются в разделе реестра
HKLM\SYSTEM\CurrentControlSet\Services\. При помощи специальных утилит (например, RegScanner) можно узнать время создания записи службы. - Журналы событий Windows: Некоторые установки оставляют следы в журнале событий.
- Откройте «Просмотр событий» (
eventvwr.msc). - Просмотрите журнал Установка (
Windows Logs\ApplicationилиСлужебные журналы\Установка). - Найдите события по установке интересующей службы через поиск или фильтр по имени файла/службы.
- Откройте «Просмотр событий» (
Как иметь журнал всех событий, связанных с установкой службы
Чтобы можно было всегда отслеживать добавление/удаление служб в будущем, настройте аудит:
- Откройте редактор локальной групповой политики (gpedit.msc).
- Перейдите в Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Аудит событий.
- Включите аудит успешных и неудачных попыток изменения системных объектов.
- После этого появления новых служб будут фиксироваться в журнале безопасности, где содержится информация о времени и пользователе, от чьего имени выполнено действие.
Также можно использовать сторонние программы для мониторинга изменений в системе: Sysmon, Process Monitor или более специализированные продукты безопасности.
Вывод
Выяснить, какое программное обеспечение установило службу Windows и когда это случилось — вполне выполнимая задача, требующая анализа путей служб, цифровых подписей, журналов событий и реестра. Для будущей безопасности системы рекомендуется включить аудит и периодически просматривать изменения в службах, чтобы оперативно реагировать на непрошенные или подозрительные установки.
Если вам важно поддерживать чистоту Windows, старайтесь устанавливать только проверенное программное обеспечение и регулярно проверяйте список служб, используя приведённые выше рекомендации.
