RuCore.NET

Отслеживание приложений, создающих неизвестные файлы на диске





Если у Вас на диске постоянно какая-либо программа записывает непонятные файлы, то Вы можете определить создающее их приложение, воспользовавшись утилитой от Microsoft: Process Monitor.

1) Запустите программу Process Monitor
Так как программа отслеживает несколько типов системной активности (реестр, файловую систему, сеть и процессы), то Вам необходимо оставить только включенной активность файловой системы.
2) Оставьте на Панели инструментов включенным значок Show File System Activity, и отключите значки Show Registry Activity, Show Network Activity и Show Process and Tread Activity, Show Profiling Events
3) Примените фильтр, чтобы отсеять необходимые Вам значения. Для запуска фильтра нажмите сочетание клавиш Ctrl + L.
4) В первом ниспадающем списке выберите значение Path — обозначает путь к искомому файлу (имя файла также учитывается).
5) Во втором ниспадающем списке выберите значение contains — условие, учитывая которое будет производится отсеивание, в данном случае обозначает «содержит» (перев. с англ.)
Также Вы можете, выбрать вариант begins with (начинается с) или ends with (заканчивается на).
6) В текстовом поле введите либо желаемое имя файла, либо имя папки, где создаются неизвестные файлы.
7) В последнем ниспадающем списке выберите значение Include — указывает фильтру, что заданные условия должны быть включены в результаты отсеивания.
8) Нажмите кнопку Add, чтобы добавить фильтр в список и ОК, чтобы применить фильтр.



Если полученных результатов очень много, то Вы можете добавить дополнительные фильтры, либо указав какие действия надо отслеживать, либо исключив определенные процессы.
Примеры дополнительных фильтров:

Process Name – Is – Имя процесса – Exclude.
Operation – Is – CreateFile – Include



Поделись статьей с друзьями


49 просмотров



Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: