Отслеживание приложений, создающих неизвестные файлы на диске

Если у Вас на диске постоянно какая-либо программа записывает непонятные файлы, то Вы можете определить создающее их приложение, воспользовавшись утилитой от Microsoft: Process Monitor.

1) Запустите программу Process Monitor
Так как программа отслеживает несколько типов системной активности (реестр, файловую систему, сеть и процессы), то Вам необходимо оставить только включенной активность файловой системы.
2) Оставьте на Панели инструментов включенным значок Show File System Activity, и отключите значки Show Registry Activity, Show Network Activity и Show Process and Tread Activity, Show Profiling Events
3) Примените фильтр, чтобы отсеять необходимые Вам значения. Для запуска фильтра нажмите сочетание клавиш Ctrl + L.
4) В первом ниспадающем списке выберите значение Path – обозначает путь к искомому файлу (имя файла также учитывается).
5) Во втором ниспадающем списке выберите значение contains – условие, учитывая которое будет производится отсеивание, в данном случае обозначает «содержит» (перев. с англ.)
Также Вы можете, выбрать вариант begins with (начинается с) или ends with (заканчивается на).
6) В текстовом поле введите либо желаемое имя файла, либо имя папки, где создаются неизвестные файлы.
7) В последнем ниспадающем списке выберите значение Include – указывает фильтру, что заданные условия должны быть включены в результаты отсеивания.
8) Нажмите кнопку Add, чтобы добавить фильтр в список и ОК, чтобы применить фильтр.



Если полученных результатов очень много, то Вы можете добавить дополнительные фильтры, либо указав какие действия надо отслеживать, либо исключив определенные процессы.
Примеры дополнительных фильтров:

Process Name – Is – Имя процесса – Exclude.
Operation – Is – CreateFile – Include

RuCoreNET - лучшее для вас!


Поделись статьей с друзьями




59 просмотров


0 0 vote
Рейтинг статьи
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments


Do NOT follow this link or you will be banned from the site!
0
Would love your thoughts, please comment.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: