汾水

當(dāng)軟件安裝修改了系統(tǒng)設(shè)置，或當(dāng)病毒入侵系統(tǒng)體內(nèi)時(shí)，就會(huì)造成一些文件的增刪或內(nèi)容的變化。為了深入了解和掌握系統(tǒng)文件或用戶(hù)文件的變化情況，我們有必要跟蹤和監(jiān)視系統(tǒng)設(shè)置或文件的變化情況。

我們知道，病毒防護(hù)軟件不是萬(wàn)能的，它們往往或多或少帶有一定的滯后性，殺毒軟件對(duì)有的病毒可能無(wú)法做到實(shí)時(shí)預(yù)防。這樣，自己動(dòng)手監(jiān)視系統(tǒng)或文件夾中文件的變化情況，也不失為一個(gè)預(yù)防的好方法。自己動(dòng)手監(jiān)視軟件對(duì)系統(tǒng)或文件的修改，其思路是在系統(tǒng)穩(wěn)定的情況下保存系統(tǒng)配置的快照，然后將其與當(dāng)前系統(tǒng)的快照進(jìn)行比較，從而查看軟件對(duì)系統(tǒng)所做的修改。但遺憾的是，即便是最先進(jìn)的Windows 10，系統(tǒng)自身并未提供這樣的快照工具，我們需要另想辦法。

1 微軟工具監(jiān)視系統(tǒng)

我們首先可以使用微軟發(fā)布的應(yīng)用程序Windows System State Monitor，來(lái)監(jiān)視系統(tǒng)的變化情況。該程序可以監(jiān)視的系統(tǒng)區(qū)域包括文件系統(tǒng)、注冊(cè)表、服務(wù)和驅(qū)動(dòng)程序等。安裝時(shí)，根據(jù)不同的系統(tǒng)架構(gòu)選擇32位或64位版的應(yīng)用程序，執(zhí)行自定義安裝，可看到包含Windows System State Analyzer和Windows System State Monitor兩個(gè)選項(xiàng)，需都選上。安裝結(jié)束后，在桌面上會(huì)生成4個(gè)圖標(biāo)（圖1）。

如果要監(jiān)視Windows系統(tǒng)的狀態(tài)，用Windows System State Monitor模塊。運(yùn)行之后顯示當(dāng)前的計(jì)算機(jī)名稱(chēng)、用戶(hù)名稱(chēng)、操作系統(tǒng)類(lèi)型和當(dāng)前日期。在下方的列表中，可選擇文件系統(tǒng)（File system）、注冊(cè)表（Registry）、服務(wù)（Services）、驅(qū)動(dòng)程序（Drivers）等項(xiàng)目，選好之后點(diǎn)擊Start monitoring按鈕開(kāi)始系統(tǒng)監(jiān)視（圖2）。監(jiān)視操作開(kāi)始后，將該軟件窗口最小化，然后執(zhí)行自己需要的任務(wù)；任務(wù)執(zhí)行完畢后，按下Stop Monitoring按鈕停止監(jiān)視。最后，按下Create Report按鈕，指定報(bào)告生成的位置，就會(huì)自動(dòng)生成含有各種注冊(cè)表分支增刪改情況的log文件、一份DriversAndServices. html報(bào)告文件和一份TestResult.html報(bào)告文件。其中DriversAndServices.html報(bào)告文件記錄驅(qū)動(dòng)和服務(wù)的變化情況，TestResult.html報(bào)告文件記錄文件系統(tǒng)的詳細(xì)變化情況（圖3）。這些報(bào)告文件存放在一個(gè)以當(dāng)前日期和時(shí)間命名的文件夾中。

如果需要比較兩個(gè)不同時(shí)點(diǎn)的系統(tǒng)快照，運(yùn)行Windows System State Analyzer模塊。啟動(dòng)軟件后可看到兩個(gè)選項(xiàng)卡，其中Snapshot為快照拍攝，分左右兩欄，按下Start按鈕可分別拍攝兩個(gè)不同時(shí)點(diǎn)的快照（圖4）。

在默認(rèn)的比較項(xiàng)目中，包含所有驅(qū)動(dòng)器、注冊(cè)表分支、服務(wù)、驅(qū)動(dòng)等選項(xiàng)，生成一份這樣的完整快照需要很長(zhǎng)時(shí)間。因此，除非要比較整個(gè)系統(tǒng)項(xiàng)目情況的變化，否則不要急于按下Start按鈕生成快照?？上葓?zhí)行“Tools→Options”命令，進(jìn)入選項(xiàng)設(shè)置窗口，通過(guò)Add或Remove按鈕，定制比較所需要包含的項(xiàng)目信息（圖5）。然后返回到軟件主窗口，通過(guò)Snapshot name下拉列表按情況類(lèi)別指定快照的名稱(chēng)，最后再生成快照。

不同時(shí)點(diǎn)的兩份快照生成完畢后，點(diǎn)擊Quick comparison選項(xiàng)卡，查看兩個(gè)快照的不同之處。

2 第三方工具知曉改變

除了用上述微軟工具來(lái)監(jiān)視系統(tǒng)的變化外，我們還可以選擇第三方工具完成對(duì)系統(tǒng)或文件夾情況變化的監(jiān)視。

如果希望能更容易地監(jiān)視系統(tǒng)各區(qū)域的變化情況，可使用WinPatrol軟件，它可以讓我們有目標(biāo)地著眼于系統(tǒng)啟動(dòng)程序、延遲啟動(dòng)、計(jì)劃任務(wù)、服務(wù)、活動(dòng)任務(wù)、Cookies、文件類(lèi)型、隱藏文件、最近訪問(wèn)內(nèi)容、系統(tǒng)注冊(cè)表等方面的變化。

若要監(jiān)視某個(gè)文件夾中文件的變化情況，可使用FolderChanges View軟件。該軟件可選擇監(jiān)控包括子文件夾在內(nèi)的文件變化情況，可進(jìn)行文件排除設(shè)置，可設(shè)置要監(jiān)控的文件大小范圍，可按通配符以命令行的方式過(guò)濾要監(jiān)控的文件，還可以設(shè)置當(dāng)文件發(fā)生變化時(shí)以聲音提醒等。此外，還可以指定每隔一定時(shí)間就將文件的變化輸出到一個(gè)報(bào)告文件中，報(bào)告文件有多種格式可選（圖6）。