Есть такая замечательная программа, как Process Monitor, которая позволяет отследить различные непонятные телодвижения в вашей системе. Например, если вы нашли странные файлы, которые непонятно откуда взялись, то с помощью Process Monitor можно найти ту программу, что их создает.
Именно этот пример мы и рассмотрим. В первую очередь, скачаем и запустим программу.
Программа следит за разнообразной активностью в системе, анализируя события в системном реестре, сети, системных процессах и файловой системе. В данном случае нам нужна только файловая система.
Чтобы убрать лишнее на панели инструментов активируйте значок Show File System Activity, а вот значки Show Registry Activity, Show Network Activity, Show Process and Tread Activity, Show Profiling Events отключите нафик, щелкнув на них один раз мышкой.
Теперь нажмите комбинацию клавиш <Ctrl+L> и активируйте фильтр для поиска нужных значений.
Настроим фильтр. В первом списке следует выбрать значение Path – это путь к нужному файлу.
В следующем списке выберите значение contains – так мы укажем условие, по которому будет осуществляться фильтрация. Впрочем, можно выбрать и значения begins with (начальное значение) либо ends with (конечное значение).
Следующий шаг – текстовое поле, в котором нужно указать либо имя файла, либо название папки, в которой постоянно появляются странные файлы.
Осталось выбрать в последнем списке значение Include – так мы выбираем, что все указанные условия будут использоваться в результате работы.
Наконец, щелкните на кнопке Add – фильтр появится в списке. Щелкнем на кнопке ОК и фильтр будет активирован.
Конечно Process Monitor может показать слишком много лишней информации. Чтобы с ней справится можно использовать дополнительные фильтры либо конкретные действия, что следует анализировать. Кроме того, порой достаточно отключить отслеживание определенных процессов, что нас не интересуют.
Валентин
Только что начал читать статью. Похоже полезная информация для начинающих осваивать Process Monitor.