Process Monitor как пользоваться программой для слежения за активностью файлов в системе?
Очень интересная программа для мониторинга, средствами Windows7 не все можно просмотреть.
portativ
|
Ответов:
2
Просмотров:
9153
Действительно, Process Monitor как и все продукты Sysinternals, одна из лучших в своем роде утилит для мониторинга событий в системе.
С её помощью легко проследить активность в файловой системе, процессах в памяти и реестре с помощью натсраиваемых фильтров.
Для примера рассмотрим вариант слежения за файловой активностью приложения.
В начале нужно отсечь избыточную информацию о ненужных данных, оставив только активность файловой системы.
Для этого щелкаем по кнопкам отключения модулей: активности реестра, сетевой активности, процессов и событий — нажимаемые кнопки показаны на скриншоте.
Данных стало заметно меньше, уже есть понимание процессов, но можно сделать ещё лучше — создаем настраиваемый фильтр.
Жмите комбинацию клавиш Ctrl+L – откроется окно фильтра.
Настраивать фильтр можно по следующим параметрам, которые открываются в выпадающем меню, например самый популярный Path - путь к нужному приложению.
Если выбрать этот параметр, то Process Monitor будет следить за файловой активностью (в нашем случае) выбранного приложения.
Для этого в следующем меню выбираем условия — Contains (содержит), не содержит, больше, меньше и так далее.
В нашем случае для указания пути к файлу указываем:
Path – Contains – путь к файлу
В последнем поле выбираем между значениями Include (включен) или Exclude (исключен), что означает будут ли результаты отображаться или будут исключены из отчета.
Кнопка Add добавляет фильтр в список фильтров.
Например, необходимо просмотреть файловую активность используемого файла pagefile.sys, фильтр будет иметь вид:
Path Ends with pagefile.sys
