Wie kann ich sehen, was eine ausführbare Datei auf die Festplatte und in die Registrierung schreibt? [Duplikat]

7

Mögliches Duplikat:
Suchen Sie nach einem Programminstallationsmonitor oder -rekorder

Welche Software kann verwendet werden, um alle auf die Festplatte geschriebenen Dateien und Registrierungseinträge "aufzuzeichnen", die von einer EXE-Datei oder anderen Installationsprogrammen geändert wurden?

windows-7 windows installation filesystems windows-registry JohnnyFromBF
quelle

Antworten:

14

Der Prozessmonitor (Windows Sysinternals) von Microsoft TechNet macht das, was Sie verlangen.

Aus der Einleitung:

Process Monitor ist ein erweitertes Überwachungstool für Windows, das das Echtzeit-Dateisystem, die Registrierung und die Prozess- / Thread-Aktivität anzeigt. Es kombiniert die Funktionen der beiden älteren Sysinternals-Dienstprogramme Filemon und Regmon und fügt eine umfangreiche Liste von Verbesserungen hinzu, darunter umfangreiche und zerstörungsfreie Filterung, umfassende Ereigniseigenschaften wie Sitzungs-IDs und Benutzernamen, zuverlässige Prozessinformationen, vollständige Thread-Stapel mit integrierter Symbolunterstützung für jede Operation gleichzeitige Protokollierung in einer Datei und vieles mehr. Aufgrund seiner einzigartig leistungsstarken Funktionen ist Process Monitor ein zentrales Dienstprogramm für das Toolkit zur Fehlerbehebung und Malware-Suche in Ihrem System.

Bildschirmfoto:

Bildschirmfoto

Dennis
quelle
Vielen Dank für den Hinweis, aber dies könnte ziemlich schwierig werden, wenn meine setup.exe eine abc.exe startet, um andere Dinge zu tun. Es ist schwer zu verfolgen. Ich dachte an eine Art Sandbox, aber Sandboxie, die ich ausprobiert habe, scheint keine solche Trace-Funktion zu haben.
JohnnyFromBF
1
Sie können Prozesse nach filtern Parent PID. Immer noch kein Sandkasten, aber es ist ein Anfang.
Dennis
Okay, ich hatte nicht an diesen übergeordneten PID-Filter gedacht. Das könnte nützlich sein. Vielen Dank!
JohnnyFromBF
6

Sie könnten ProcMonvon Sysinternals versuchen . Auf diese Weise können Sie genau sehen, was eine Datei tut. Sie müssen jedoch nach der spezifischen Datei filtern, sonst wird die Liste mit allem anderen aufgebläht.

Devator
quelle
Vielen Dank für den Hinweis, aber dies könnte ziemlich schwierig werden, wenn meine setup.exe eine abc.exe startet, um andere Dinge zu tun. Es ist schwer zu verfolgen. Ich dachte an eine Art Sandbox, aber Sandboxie, die ich ausprobiert habe, scheint keine solche Trace-Funktion zu haben.
JohnnyFromBF
1
@Ian Es werden die von ihm gestarteten untergeordneten Prozesse aufgelistet. Dann können Sie nach ihnen filtern.
Devator