Process Monitor. Утилита из пакета Sysinternals

Появление на жестком диске непонятных файлов - вполне оправданный повод для беспокойства. Сами по себе файлы не появляются, их кто-то или что-то создает. Это могут быть временные объекты, создаваемые полезной программой, но так бывает не всегда.

Вирусы тоже "склонны" оставлять подобные следы, а поэтому не помешает лишний раз перестраховаться и определить источник, программу, которая их создает.

Сделать это проще всего при помощи специальной утилиты Process Monitor (мониторинг процессов), разработанной Марком Руссиновичем и входящей в состав диагностического пакета Sysinternals. Эта утилита предназначена для отслеживания активности файловой системы, системного реестра, сетевой активности, процессов и потоков в режиме реального времени.

Скачать англоязычную версию этой утилиту можно с официального сайта или набрав в поисковой строке Google соответствующий запрос, отыскать полностью русифицированную версию.

Process Monitor совершенно бесплатен, относительно прост в обращении и не требует установки. Благодаря Process Monitor можно отслеживать любые процессы, просматривать свойства событий, открывать напрямую директории с интересующим файлом, записывать отчетность в файл, а также выполнять множество других полезных операций.

Приведем простой пример. Допустим, нам необходимо выяснить, какое приложение записывает на диск arcdir.log. Запускаем Process Monitor и поскольку поиск будет производиться в файловой системе, отключаем функции, отвечающие за реестр, сетевую активность и процессы.

Сделать это можно нажав на соответствующие иконки, расположенные на панели управления в верхней правой части рабочего окна. Далее следует убедиться, что кнопка захвата не зачеркнута красно линией.

Сразу после запуска программа начнет активно собирать информацию об активности файловой системы, реестра и т.д. Этот список может включать сотни строк, разобраться с которыми не так-то просто.

Искать файл можно при помощи встроенного поиска, указав его имя, но если нужно отследить появления объекта в режиме реального времени, лучше всего воспользоваться фильтрацией, что намного упростит поставленную задачу.

В действительности фильтры имеют множество параметров. Сортировать данные можно по названию компании производителя, дате, имени процесса, категории, пути, результату и т.д.

Для этого достаточно нажать сочетание клавиш Ctrl+L и в открывшемся окошке задать соответствующие условия. В нашем случае это путь и имя файла. Если в следующий раз какое-нибудь приложение сгенерирует файл с таким именем, Process Monitor тут же отреагирует появлением в рабочем окне списка активностей.

При этом Process Monitor захватит и отобразит также и все процессы, так или иначе связанные с файлом arcdir.log.

Выделив нужный элемент списка, и открыв контекстное меню, можно просмотреть его свойства, перейти в папку с файлом, а если это будет ключ реестра, открыть его во встроенном редакторе.

Приведем другой пример работы с фильтрами Process Monitor. Представим, что нам необходимо получить данные по запущенному приложению, имеющему открытое окно.

Для этого нужно просто перетянуть на окно приложения кнопку в виде прицела и фильтр (PID) создастся автоматически, а в окне Process Monitor появится список активностей проверяемой программы.

Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления