Появление на жестком диске непонятных файлов — вполне оправданный повод для беспокойства. Сами по себе файлы не появляются, их кто-то или что-то создает. Это могут быть временные объекты, создаваемые полезной программой, но так бывает не всегда.
Вирусы тоже «склонны» оставлять подобные следы, а поэтому не помешает лишний раз перестраховаться и определить источник, программу, которая их создает. Сделать это проще всего при помощи специальной утилиты Process Monitor, разработанной Марком Руссиновичем и входящей в состав диагностического пакета Sysinternals. Эта утилита предназначена для отслеживания активности файловой системы, системного реестра, сетевой активности, процессов и потоков в режиме реального времени.
Скачать англоязычную версию этой утилиту можно с официального сайта или набрав в поисковой строке Google соответствующий запрос, отыскать полностью русифицированную версию.
Process Monitor совершенно бесплатен, относительно прост в обращении и не требует установки. Благодаря Process Monitor можно отслеживать любые процессы, просматривать свойства событий, открывать напрямую директории с интересующим файлом, записывать отчетность в файл, а также выполнять множество других полезных операций.
Приведем простой пример. Допустим, нам необходимо выяснить, какое приложение записывает на диск arcdir.log. Запускаем Process Monitor и поскольку поиск будет производиться в файловой системе, отключаем функции, отвечающие за реестр, сетевую активность и процессы.
Сделать это можно нажав на соответствующие иконки, расположенные на панели управления в верхней правой части рабочего окна. Далее следует убедиться, что кнопка захвата не зачеркнута красно линией.
Сразу после запуска программа начнет активно собирать информацию об активности файловой системы, реестра и т.д. Этот список может включать сотни строк, разобраться с которыми не так-то просто.
Искать файл можно при помощи встроенного поиска, указав его имя, но если нужно отследить появления объекта в режиме реального времени, лучше всего воспользоваться фильтрацией, что намного упростит поставленную задачу.
В действительности фильтры имеют множество параметров. Сортировать данные можно по названию компании производителя, дате, имени процесса, категории, пути, результату и т.д.
Для этого достаточно нажать сочетание клавиш Ctrl+L и в открывшемся окошке задать соответствующие условия. В нашем случае это путь и имя файла. Если в следующий раз какое-нибудь приложение сгенерирует файл с таким именем, Process Monitor тут же отреагирует появлением в рабочем окне списка активностей.
При этом Process Monitor захватит и отобразит также и все процессы, так или иначе связанные с файлом arcdir.log.
Выделив нужный элемент списка, и открыв контекстное меню, можно просмотреть его свойства, перейти в папку с файлом, а если это будет ключ реестра, открыть его во встроенном редакторе.
Приведем другой пример работы с фильтрами Process Monitor. Представим, что нам необходимо получить данные по запущенному приложению, имеющему открытое окно.
Для этого нужно просто перетянуть на окно приложения кнопку в виде прицела и фильтр (PID) создастся автоматически, а в окне Process Monitor появится список активностей проверяемой программы.
Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления
Похожие записи:
Понравилась статья на блоге? Поделись информацией с другими:
- Беспроводной Wi-Fi роутер. Что это такое и как его выбрать
- Онлайн перепрошивка флешки
- Пополняем QIWI Кошелек банковской картой Сбербанка
- Connectify, раздаём интернет с ноутбука!
- Рисовать на компьютере. Программа MyPaint, инструмент для рисования на компьютере
- Анонимайзер – Ваш пропуск в мир анонимного интернет-сёрфинга
- Windows 7, где же администратор?
- Как пользоваться Daemon Tools Lite?
Здравствуйте!
Скажите, пожалуйста, где взять «руссификатор» для Process Monitor?
Спасибо!
Chuzhoy Reply:
Апрель 27th, 2012 at 12:31
Официального русификатора нет, а не официальный можно поискать в поисковых системах по запросу например — process monitor rus. Но, что вы скачаете с ресурсов которые предлагают эти люди неизвестно, поэтому будьте внимательны и хорошенько проверяйте всё на вирусы!
Неужели есть люди, которые и правду разбираются в таких тонкстях! Мне ничего не понятно. Может это развод? Ну откуда простой смертный увидит, что появилась какая-то новоя программа, да к тому же создающая и рассылающая (куда? внутрь компьютера?) еще какие-то программы? Почему надо искать какой-то arcdir.log. а не какой-то еще dimedrol-brom? И куда его девать, если найдешь? Какие такие «соответствующие» условия? Какие можно отслеживать события, открывать возможности, что такое директории? И автор думает, что он помогает новичкам? Да тут академик голову сломает. А предлагают купить обучающий диск! Что в нем поймешь? А, если кто-то понимает, то ему такие уроки не нужны. Он их (уроки) и сам напишет. Вот и получается вместо помощи новичкам «клуб знатоков». Его члены просто делятся своими мыслями, а кто не понимает — то не их вина. Наверное сотни две таких статей прочитал, от разных авторов и всюду так непонятно. Извините, если комментарий такой тупой. Мне также думается о статье. Извините.
Chuzhoy Reply:
Февраль 18th, 2015 at 21:47
@Михаил, Конечно это развод и тупая статья. И рассчитана действительно на пользователей чуть выше среднего. Для не желающих вникать вовсе необязательна для изучения. В общем-то никто никого ни к чему не обязывает.
А если все эти гаджусти из-за бугра САНКЦИИ ?
Chuzhoy Reply:
Август 31st, 2015 at 15:09
@Григорий, Вы о чем? При чем здесь санкции?
Ну, а реально, кто подскажет, где рыть- искать, что-бы объяснить содержимое колонок «Операция» и «Подробности».