Узнать имя процесса, меняющего системное время

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Узнать имя процесса, меняющего системное время

Сообщение Proxy » 30.05.2016 (Пн) 17:34

Доброго времени суток.

Собственно сабж: есть в домене ряд ПК на windows 10, на них много специфического софта. С некоторых пор стало сбиваться время (у процессов, запущенных от пользовательских учеток есть права на изменение системного времени, так сложилось). В журналах фиксируется событие изменение времени, но подробной информации нет (даже время события фиксируется уже некорректное). Пока было выяснено, что в оффлайн время тоже "сбивается". После принудительной синхронизации до 10 минут время идет корректно, потом снова уходит. Притом устанавливается какое-то странное время, которое не идет (какой-то день в конце апреля каждый раз). И такое только на Windows 10 наблюдается, что странно, конечно. Притом в win 10 ещё наблюдается два практически идентичных инструмента для изменения Даты и Времени, но новый от чего-то время менять не может, даже если запущен от имени администратора (да и в групповых политиках никто нигде время менять никому не запрещал в этом домене). Как минимум странно и присутствие дублирующей утилиты с идентичным интерфейсом и то, что она не работает, если ПК в домене.

И вопрос: есть ли какой-то готовый инструмент, позволяющий ставить хук на изменение времени? Как вообще осуществляется изменение системного времени в windows? Что следует перехватить? Пока обнаружил только то, что окнам приходит сообщение WM_TIMECHANGE.
Follow the white rabbit.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Узнать имя процесса, меняющего системное время

Сообщение Хакер » 30.05.2016 (Пн) 19:32

Убрать право и посмотреть аудит отказов?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Узнать имя процесса, меняющего системное время

Сообщение Proxy » 30.05.2016 (Пн) 19:36

Была такая мысль, но думал, что найдется удобнее инструмент.
Follow the white rabbit.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16473
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Узнать имя процесса, меняющего системное время

Сообщение Хакер » 30.05.2016 (Пн) 20:07

Spy++?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Узнать имя процесса, меняющего системное время

Сообщение Proxy » 02.06.2016 (Чт) 20:32

В итоге как-то с очередной порцией обновлений системы само решилось. Упоминания подобных случаев не нашел. Выслеживать конкретное обновление тоже не стал.
Follow the white rabbit.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Узнать имя процесса, меняющего системное время

Сообщение Proxy » 22.06.2016 (Ср) 9:17

Что ж, рано радовался, снова проявилось, снова время "встало".
Постоянно принудительно устанавливается время, соответствующее времени последнего обновления на рабочих станциях. Снова только Windows 10.
Меняет время svchost.exe (какие службы на данном экземпляре не могу сказать, не сам выслеживал), аудит отказа + запрет изменения системного времени не работает. Что-то просто игнорирует запрет (не спрашивайте как, сам не представляю себе механизм авторизации в windows). Можно запретить изменение времени даже системе, тогда и синхронизация с адекватным источником времени в домене тоже не проходит (и соответственно пользователь тоже не может изменять время, его учетка тоже не разрешена), запрет доступа фиксируется, если пытаешься сам изменить время, но время периодически всё равно возвращается (в итоге это приводит к тому, что время как бы стоит, регулярно возвращаясь к какому-то фиксированному времени, когда очередное обновление системы завершилось).
Что ещё можно посмотреть?
Пока всё идет к тому, что версия ОС будет откатываться, т.к. работать невозможно. Корп. лиценз, обновилось без проблем на первый взгляд. В поддержку microsoft не обращался (и желанием не богат: толку с них не будет).

UDP. Мистика: время сбивается в системе (в журналах фиксируется некорректное время, в трее в часах, НО некоторые приложения видят корректное время, даже если запускаются уже после того, как время сбилось и источник корректного времени не доступен (сеть отключена). К примеру в Process Monitor стабильно отображается и идет нормальное время, когда бы он не был запущен). Т.е. в трее время сбилось и остановилось (либо дергается максимум ни минуту), а в это же время в PM отображается корректное время, будто ничего и не происходило. Никогда прежде ничего подобного не встречал.
Follow the white rabbit.


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

    TopList