Поиск имени процесса, который изменяет время Windows

Является ли серверная часть домена? Это контроллер домена? В домене Windows эмулятор PDC по умолчанию является авторитетным сервером времени для домена; все члены домена синхронизируются с PDC (через службу времени Windows). PDC обычно настроен на синхронизацию с источником времени в Интернете по умолчанию. time.windows.com что мне кажется ненадежным источником времени.

Чтобы узнать больше о службе времени Windows, начните здесь: http://technet.microsoft.com/en-us/library/cc773061(WS.10).aspx

Если вы подозреваете, что это происходит в процессе, вы можете проверить его на наличие привилегии SE_SYSTEMTIME_NAME. Process Explorer показывает его на вкладке «Безопасность» в деталях процесса как SeSystemtimePrivilege, но вам придется проверять это для каждого процесса отдельно. Это может не помочь, если процесс просто запускает другой процесс для обновления системного времени.

Возможно, вы сможете работать с кодом из этой статьи о переполнении стека: https://stackoverflow.com/questions/2094663/determine-if-windows-process-has-privilege-to-create-symbolic-link для запуска проверки процессов, обладающих этой привилегией.

Также обратите внимание, что на серверах Windows вам не нужно стороннее программное обеспечение для синхронизации времени - вы должны иметь возможность указать сервер (ы) NTP, с которыми система будет автоматически синхронизироваться; если сервер отключен от Интернета, вы все равно сможете проверить свои контроллеры домена (если они находятся в домене).

Также возможный интерес представляет информация MSDN об изменении системного или местного времени (начиная с http://msdn.microsoft.com/en-us/library/ms724942%28v=VS.85%29.aspx) или часовой пояс.

Бегать

tasklist /svc

в командной строке.

Svchost, на котором размещается W32Time, является вашим виновником.