Значительная часть активности Windows проходит «под капотом», тем не менее, вы без особого труда можете ее отследить. Какие файлы были созданы, какие изменены, а какие удалены — поможет выяснить утилита AVZ4. Программа эта предназначается для поиска и нейтрализации вирусов, но в ее состав входит также полезный инструмент, именуемый «Ревизор». Он создает нечто вроде снимков указанного расположения до и после предполагаемых изменений, а затем по требованию пользователя производит их сравнение.
Запустив AVZ4, выберите в меню «Файл» опцию «Ревизор» и отметьте галкой каталог, за которым нужно установить наблюдение.
Если вы планируете наблюдать за системными каталогами, будьте готовы к тому, что и обработка, и анализ займет много времени. Если какие-то типы файлов нужно исключить из сканирования, активируйте радиокнопку «Файлы по маске пользователя» и перечислите их форматы в соответствующем поле. Режим создания базы оставляем стандартный, для запуска процедуры жмем «Пуск».
По умолчанию снимок в формате FRZ сохраняется в каталог Revizor, расположенный в папке с исполняемым файлом AVZ4, а вообще эталонный снимок лучше сохранять в отдельную директорию. По прошествии некоторого времени вы хотите узнать, какие изменения произошли на диске. Создайте второй снимок исследуемой директории и переключитесь на вкладку «Сравнение диск <> база». В поле файл укажите путь к эталонному снимку FRZ и нажмите «Пуск».
Программа сравнит обе базы и занесет обнаруженные изменения в протокол, содержимое которого можно будет просмотреть либо в одноименной вкладке, либо во вкладке «Найденные отклонения».
В частности, «Ревизор» покажет вам полный путь к объектам, их размер в байтах и само произведенное с ними действие — создание, удаление и модификацию. Сравнение существующих ведется по контрольным суммам, поэтому незамеченными не останутся даже самые ничтожные изменения, за исключением атрибутов, изменения которых программа почему-то не регистрирует.
Добавить комментарий