Диагностика - Регистрация всех обращений к файлам и реестру конкретного процесса

Petya V4sechkin · Конфигурация компьютера

Mertvii, только не Process Explorer, а Process Monitor.

Цитата:

из которого сразу ясно какие разрешения и куда ставить

"По щучьему велению" хотите? :) Так не бывает, придется мозг применить.

Mertvii · Отправлено: **18:50, 20-09-2011** | #3

Petya V4sechkin, 2011 год на дворе, как-никак. Так бывает, такой функционал был в одном пакете для создания собственных дистрибутивов. Хотелось бы относительно небольшую утилиту, где будут только указанные возможности

Iska · Отправлено: **21:52, 20-09-2011** | #4

Mertvii, небольшая утилита — это и есть Process Monitor.

Требование:

Цитата Mertvii:

1) Нужен не рилтайм мониторинг (как в process explorer), а чтобы вёлся лог всех попыток обращений к файлам и (будет ещё лучше) реестру, »

неразрешимо, ибо для регистрирования попыток обращения нужен драйвер, который будет именно в реальном времени перехватывать вызовы функций WinAPI и вести лог обращений.

Цитата Mertvii:

и с какой целью »

Это вовсе бессмыслица. Это невозможно узнать в принципе.

Цитата Mertvii:

Petya V4sechkin, 2011 год на дворе, как-никак. Так бывает, такой функционал был в одном пакете для создания собственных дистрибутивов. »

В каком?

Mertvii · Отправлено: **23:01, 20-09-2011** | #5

Iska, macrovision admin studio, по-моему. А по поводу, что нельзя узнать с какой целью - есть же в ОС возможность включить аудит доступа к объектам, в том числе и к файлам - тогда в секурити разделе логов будут появяться сообщения об успешных/безуспешных попытках доступах к файлам, т.е. принципиально невозможным назвать нельзя.

Iska · Отправлено: **23:35, 20-09-2011** | #6

Цитата Mertvii:

Iska, macrovision admin studio, по-моему. »

Вы смотрели на внутренности, что именно оно предпринимает для отслеживания?

Цитата Mertvii:

есть же в ОС возможность включить аудит доступа к объектам, в том числе и к файлам - тогда в секурити разделе логов будут появяться сообщения об успешных/безуспешных попытках доступах к файлам, т.е. принципиально невозможным назвать нельзя. »

Чем это будет отличаться от установки драйвера? Только возросшим временем, заметной потерей производительности и огромным логом. Во всяком случае, помнится, в Process Monitor есть возможность группировки (или дропа, не помню) дублирующихся событий.

Delirium · Отправлено: **01:36, 21-09-2011** | #7

Iska, аюсолютно прав. запускаем Process Monitor, выставляем фильтры на нужную папку и пусть себе мониторит. Дальше дело рук.

Mertvii · Отправлено: **17:45, 23-09-2011** | #8

Спасибо посоветовавшим Process Monitor, оказалось именно тем самым.

Magus · Отправлено: **12:25, 29-09-2011** | #9

Process Monitor, конечно, неплохая вещь, но:
1. неудобные логи: пишутся только в собственный формат, который не поддаётся анализу иными программами, да и самим PM не открывается на машине с ОС другой разрядности, а ещё лог-файлы автоматически кромсаются на части разного размера (хотя написано "limited by free disk space");
2. невозможно поместить программу в автозагрузку как службу или в планировщик, чтобы она писала логи в фоне, т.к. при старте она выдаёт окно фильтра, в котором как минимум нужно нажать "ОК";
3. старый лог-файл при старте перезаписывается, хотя лолично было бы добавление каких угодно символов в каждый новый файл;
Причем вручную можно выгружать список в удобный формат CSV: хорошая задумка, но не реализована для лог-файлов ("backup").
Это в версии 2.96... "сырой" продукт, однако.
Есть что-нибудь ещё подобное?

Petya V4sechkin · Конфигурация компьютера

Цитата Magus:

невозможно поместить программу в автозагрузку как службу или в планировщик, чтобы она писала логи в фоне

Process Monitor – мониторинг включения системы

Цитата Magus:

"сырой" продукт, однако.

Скажите свое "фи" Марку Руссиновичу :)