Мониторинг активности файловой системы процесса
В Windows 7, как я могу отслеживать все действия файловой системы, выполняемые определенным процессом?
Цель состоит в том, чтобы определить, какие и когда загружаются конфигурационные файлы серверного процесса.
2 ответа
Process Explorer от Sysinternals может предоставить вам информацию о текущем состоянии процессов, но вам нужен Process Monitor (Procmon). Запустите его, а затем запустите свой процесс. Как только процесс завершится или произойдет ожидаемое событие, остановите захват. Procmon очень многословен; вы захватили сотни тысяч, если не миллионы событий, поэтому вам нужно будет отфильтровать такие вещи, как имя процесса, PID, путь и т. д. Если процесс коснулся файла или ключа реестра или сообщил по сети, вы будете увидеть это здесь.
Посмотрите на Process Monitor от SysInternals и теперь Microsoft. Он показывает вам все системные события, включая реестр, сеть, ввод-вывод и другие операции в режиме реального времени. Вы можете ограничить свои результаты в зависимости от количества фильтров, например, имени процесса. Очень удобно при просмотре приложения.