файл монитор, process monitor

Process Monitor. Утилита из пакета Sysinternals

Process MonitorПоявление на жестком диске непонятных файлов — вполне оправданный повод для беспокойства. Сами по себе файлы не появляются, их кто-то или что-то создает. Это могут быть временные объекты, создаваемые полезной программой, но так бывает не всегда.

Вирусы тоже «склонны» оставлять подобные следы, а поэтому не помешает лишний раз перестраховаться и определить источник, программу, которая их создает. Сделать это проще всего при помощи специальной утилиты Process Monitor, разработанной Марком Руссиновичем и входящей в состав диагностического пакета Sysinternals. Эта утилита предназначена для отслеживания активности файловой системы, системного реестра, сетевой активности, процессов и потоков в режиме реального времени.

Скачать англоязычную версию этой утилиту можно с официального сайта или набрав в поисковой строке Google соответствующий запрос, отыскать полностью русифицированную версию.



Process Monitor совершенно бесплатен, относительно прост в обращении и не требует установки. Благодаря Process Monitor можно отслеживать любые процессы, просматривать свойства событий, открывать напрямую директории с интересующим файлом, записывать отчетность в файл, а также выполнять множество других полезных операций.
Утилита из пакета Sysinternals
Приведем простой пример. Допустим, нам необходимо выяснить, какое приложение записывает на диск arcdir.log. Запускаем Process Monitor и поскольку поиск будет производиться в файловой системе, отключаем функции, отвечающие за реестр, сетевую активность и процессы.

Сделать это можно нажав на соответствующие иконки, расположенные на панели управления в верхней правой части рабочего окна. Далее следует убедиться, что кнопка захвата не зачеркнута красно линией.

Сразу после запуска программа начнет активно собирать информацию об активности файловой системы, реестра и т.д. Этот список может включать сотни строк, разобраться с которыми не так-то просто.

Искать файл можно при помощи встроенного поиска, указав его имя, но если нужно отследить появления объекта в режиме реального времени, лучше всего воспользоваться фильтрацией, что намного упростит поставленную задачу.
Process Monitor
В действительности фильтры имеют множество параметров. Сортировать данные можно по названию компании производителя, дате, имени процесса, категории, пути, результату и т.д.

Для этого достаточно нажать сочетание клавиш Ctrl+L и в открывшемся окошке задать соответствующие условия. В нашем случае это путь и имя файла. Если в следующий раз какое-нибудь приложение сгенерирует файл с таким именем, Process Monitor тут же отреагирует появлением в рабочем окне списка активностей.

При этом Process Monitor захватит и отобразит также и все процессы, так или иначе связанные с файлом arcdir.log.

Выделив нужный элемент списка, и открыв контекстное меню, можно просмотреть его свойства, перейти в папку с файлом, а если это будет ключ реестра, открыть его во встроенном редакторе.

Приведем другой пример работы с фильтрами Process Monitor. Представим, что нам необходимо получить данные по запущенному приложению, имеющему открытое окно.

Для этого нужно просто перетянуть на окно приложения кнопку в виде прицела и фильтр (PID) создастся автоматически, а в окне Process Monitor появится список активностей проверяемой программы.

Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления


Понравилась статья на блоге? Поделись информацией с другими:

К записи "Process Monitor. Утилита из пакета Sysinternals" 7 комментариев
  1. Arthur:

    Здравствуйте!

    Скажите, пожалуйста, где взять «руссификатор» для Process Monitor?

    Спасибо!

    Chuzhoy Reply:

    Официального русификатора нет, а не официальный можно поискать в поисковых системах по запросу например — process monitor rus. Но, что вы скачаете с ресурсов которые предлагают эти люди неизвестно, поэтому будьте внимательны и хорошенько проверяйте всё на вирусы!

  2. Михаил:

    Неужели есть люди, которые и правду разбираются в таких тонкстях! Мне ничего не понятно. Может это развод? Ну откуда простой смертный увидит, что появилась какая-то новоя программа, да к тому же создающая и рассылающая (куда? внутрь компьютера?) еще какие-то программы? Почему надо искать какой-то arcdir.log. а не какой-то еще dimedrol-brom? И куда его девать, если найдешь? Какие такие «соответствующие» условия? Какие можно отслеживать события, открывать возможности, что такое директории? И автор думает, что он помогает новичкам? Да тут академик голову сломает. А предлагают купить обучающий диск! Что в нем поймешь? А, если кто-то понимает, то ему такие уроки не нужны. Он их (уроки) и сам напишет. Вот и получается вместо помощи новичкам «клуб знатоков». Его члены просто делятся своими мыслями, а кто не понимает — то не их вина. Наверное сотни две таких статей прочитал, от разных авторов и всюду так непонятно. Извините, если комментарий такой тупой. Мне также думается о статье. Извините.

    Chuzhoy Reply:

    @Михаил, Конечно это развод и тупая статья. И рассчитана действительно на пользователей чуть выше среднего. Для не желающих вникать вовсе необязательна для изучения. В общем-то никто никого ни к чему не обязывает.

  3. Григорий:

    А если все эти гаджусти из-за бугра САНКЦИИ ?

    Chuzhoy Reply:

    @Григорий, Вы о чем? При чем здесь санкции?

  4. Геннадий:

    Ну, а реально, кто подскажет, где рыть- искать, что-бы объяснить содержимое колонок «Операция» и «Подробности».

Оставить свой комментарий

Поиск
Помочь деньгами

ВКонтакте

Посетите наши страницы в социальных сетях!

ВКонтакте.      Facebook.      Twitter.      YouTube.      Одноклассники.      RSS.
Вверх
© 2017    Копирование материалов сайта разрешено только при наличии активной ссылки   //    Василий Чужойon Google+