File monitor для windows 7

Filemon
для Windows

File Monitor (formerly Filemon)

Overview

File Monitor (formerly Filemon) is an advanced file monitoring and logging utility for Windows. It captures file system and registry activity in real-time, allowing users to monitor and log all file system and registry changes on their computer.

File Monitor is a powerful tool for logging and analyzing file system and registry activity. It can be used to help troubleshoot software and hardware problems, monitor system performance and security, and detect and prevent malicious activity.

The main benefit of File Monitor is its ability to monitor and log in real-time the system activity of files, registry, processes and network connections.

Features:

File Monitor offers a number of features to help users monitor and log their file system and registry activity:

• Real-time monitoring and logging: File Monitor captures all file system and registry activity in real-time, allowing users to view what is happening on their system as it occurs.

• Comprehensive logging: File Monitor logs all file system and registry activity, including file creations, deletions, modifications, accesses, and renames.

• Advanced filtering: File Monitor allows users to filter the log by time, process, user, and file name. This allows users to focus on the activity of interest and quickly find the information they need.

• Event notifications: File Monitor can be configured to send notifications when specific events are detected, such as the creation of a file or the modification of a registry key.

• Detailed logging: File Monitor logs detailed information about each event, such as the process name, user name, file name, and registry key.

• System tray icon: The File Monitor system tray icon allows users to quickly monitor and access the application.

• Customizable views: File Monitor provides customizable views for viewing and sorting the log.

• Easy-to-use interface: File Monitor provides a simple, easy-to-use interface that allows users to quickly and easily configure and use the application.

Conclusion

File Monitor is a powerful tool for logging and analyzing file system and registry activity. It allows users to monitor and log all file system and registry changes on their computer in real-time, helping them troubleshoot software and hardware problems, monitor system performance and security, and detect and prevent malicious activity.

Авторы: Марк Руссинович (Mark Russinovich) и Брайс Когсуэлл (Bryce Cogswell)

Опубликовано 1 ноября 2006 г.

Введение

Примечание. Программы Filemon и Regmon заменены одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.

Программа FileMon отслеживает и отображает в реальном времени все операции с файловой системой. Ее богатые возможности делают ее мощным инструментом, позволяющим наблюдать, как работает система Windows, отслеживать, как приложения используют файлы и библиотеки DLL, а также решать проблемы, связанные с настройкой файлов системы или приложений. Программа Filemon точно отмечает время выполнения операций открытия, чтения, записи или удаления файла или каталога. В столбце состояния выводится результат выполнения каждой из этих операций. Программа FileMon так проста в использовании, что вы станете экспертом за считанные минуты. Она начинает отслеживание сразу после запуска, а ее выходные данные можно сохранить в файл для автономного просмотра. В программе реализованы все возможности для поиска, а если вам кажется, что она выводит слишком много информации, просто настройте один или несколько фильтров.

Программа FileMon работает в системах NT 4.0, Windows 2000, Windows XP, Windows XP и Windows Server 2003 64-bit Edition, Windows 2003 Server, Windows 95, Windows 98 и Windows ME.

Картинка с сайта: web.archive.org

Установка и использование

При возникновении вопросов или проблем посетите форум компании Sysinternals, посвященный программе Filemon.

Просто запустите программу FileMon (filemon.exe). Для этого необходимо иметь права администратора. Когда программа запускается в первый раз, она отслеживает все локальные жесткие диски. Чтобы очистить окно программы, выбрать или удалить тома для наблюдения, включая сетевые тома (Windows NT/2K/XP), сохранить полученные данные в файл, а также отфильтровать выходные данные или выполнить по ним поиск, можно воспользоваться командами меню, сочетаниями клавиш или кнопками панели инструментов.

Если при последнем запуске FileMon были настроены какие-либо фильтры, при следующем запуске программа попросит подтвердить их использование. Чтобы запустить FileMon без запроса подтверждения, достаточно указать в командной строке параметр /q. После запуска программа автоматически начинает регистрировать операции с файловой системой. Чтобы запустить FileMon, отключив запись операций, нужно указать в командной строке параметр /o.

Когда события записываются в выходные данные, им присваиваются последовательные номера. Если внутренние буферы Filemon переполнены, что случается при слишком большом количестве операций, в последовательности номеров появляются промежутки.

Каждый раз, когда вы выходите из FileMon, программа запоминает настроенные фильтры, положение окна и ширину столбцов выходных данных.

Фильтрация

В диалоговом окне «Filter» (Фильтр), которое открывается с помощью кнопки на панели инструментов или команды меню «Edit|Filter/Highlight» (Правка|Фильтр/Выделение), можно указать, какие данные должны отображаться в списке. Знак подстановки «*» соответствует произвольной строке; фильтры не зависят от регистра букв. В списке отображаются только те данные, которые определены во включающем фильтре и при этом не определены в исключающем фильтре. Строки в фильтре разделяются точкой с запятой, например: «filemon;temp». Примечание для Windows NT и 2000. Поскольку ввод и вывод для файловой системы выполняются асинхронно, фильтрацию по полю результатов выполнить нельзя.

Например, если настроены включающий фильтр «c:\temp» и исключающий фильтр «c:\temp\подкаталог», программа будет отслеживать обращения ко всем файлам и каталогам в папке c:\temp, за исключением тех, которые находятся в папке c:\temp\подкаталог.

С помощью знаков подстановки можно задавать сложные образцы для сопоставления, что позволяет, к примеру, отслеживать обращения к конкретным файлам со стороны конкретных приложений. Так, если настроен включающий фильтр «Winword*Windows», программа FileMon будет показывать только обращения приложения Microsoft Word к файлам и каталогам, в имени которых есть слово «Windows».

С помощью фильтра выделения можно указать, какие строки в списке следует выделить цветом. Цвета для выделения задаются с помощью пункта меню «Edit|Highlight Colors» (Правка|Цвета выделения).

Дополнительные параметры фильтрации позволяют выбрать или исключить операции чтения, записи или открытия. Например, при работе над устранением неполадок часто представляют интерес только операции открытия файлов или каталогов.

Выбор томов (Windows NT/2K/XP/2K3)

Для выбора или исключения томов для отслеживания необходимо использовать меню «Volumes» (Тома). Чтобы отслеживать доступ к любым сетевым ресурсам, включая удаленные общие папки и доступ по пути UNC к удаленным томам, можно воспользоваться пунктом «Network» (Сеть) этого меню.

Ограничение объема выходных данных

Диалоговое окно «History Depth» (Число записей), которое можно открыть с помощью соответствующей кнопки на панели инструментов или пункта меню «Edit|History» (Правка|Записи), позволяет указать максимальное количество строк в окне вывода. Значение 0 означает отсутствие ограничений.

Поиск по выходным данным

Выполнить поиск нужных строк в окне вывода можно с помощью команды меню «Find» (Поиск) или соответствующей кнопки на панели инструментов. Поиск в прямом направлении можно повторять с помощью клавиши F3, а в обратном — с помощью сочетания клавиш Shift+F3. Чтобы начать поиск с конкретной строки выходных данных, необходимо выделить ее, щелкнув самое левое поле этой строки (порядковый номер). Если ни одна строка не выделена, новый поиск начинается с первой (при выполнении поиска сверху вниз) или последней (при выполнении поиска снизу вверх) записи.

Параметры

Программа FileMon может показывать либо время выполнения операций, либо их длительность. Меню «Options» (Параметры) и кнопка с изображением часов на панели инструментов позволяют переходить из одного режима в другой. В зависимости от текущего режима на панели инструментов изображается значок часов или секундомера. Если установлен режим показа длительности операции, то значение в поле «Time» (Время) соответствует числу секунд, которое потребовалось файловой системе для обслуживания конкретного запроса. Команда меню «Options|Show Milliseconds» (Параметры|Показывать миллисекунды) позволяет отображать время с точностью до миллисекунд.

Чтобы окно FileMon всегда отображалось поверх остальных окон, достаточно выбрать команду меню «Options|Always On Top» (Параметры|Поверх остальных окон). Кроме того, с помощью команды меню «Options|Auto Scrol» (Параметры|Автопрокрутка) или соответствующей кнопки на панели инструментов можно указать, чтобы список в окне FileMon не прокручивался.

Именованные каналы и каналы передачи сообщений
электронной почты

Начиная с версии 4.1, программа FileMon может отслеживать операции файловой системы с именованными каналами и каналами передачи сообщений электронной почты для Windows NT/2K Именованные каналы обычно используются в качестве механизма взаимодействия в основных подсистемах NT/Win2K, таких как подсистема локального администратора безопасности (LSASS). Модель DCOM также использует именованные каналы. Кроме того, с ними работают и сетевые компоненты, например служба обозревателя. Чтобы увидеть операции с именованными каналами с помощью FileMon, достаточно выбрать в меню «Drives» (Диски) пункт «Named Pipes» (Именованные каналы), а затем выполнить какую-нибудь операцию на общем сетевом ресурсе или открыть приложение, такое как Regedt32, которое взаимодействует с подсистемой безопасности.

Принцип работы FileMon

Для драйвера Windows 9x в основе работы FileMon лежит драйвер виртуального устройства Filevxd.vxd. Он загружается динамически, а в ходе своей инициализации устанавливает с помощью службы VxD фильтр файловой системы IFSMGR_InstallFileSystemApiHook, что позволяет ему встроиться в цепочку вызовов всех запросов к файловой системе. В ОС Windows NT в основе работы FileMon лежит драйвер файловой системы, который создает объекты устройств фильтра и привязывает их к конечным объектам устройств файловой системы, что позволяет программе просматривать все запросы IRP и FastIO, направляемые дискам. Когда программа FileMon регистрирует запрос на открытие, создание или закрытие файла или каталога, она обновляет внутреннюю хэш-таблицу, которая представляет собой список соответствий между внутренними дескрипторами файлов и путями к этим файлам. Если же выполняется какой-то вызов на основе дескриптора, программа ищет в таблице запись для этого дескриптора, чтобы вывести соответствующий полный путь к файлу. Если файл, на который ссылается дескриптор, был открыт до запуска FileMon, соответствующая запись в хэш-таблице не будет найдена, и тогда программа просто выведет значение дескриптора.

Информация о доступе к файловой системе записывается в формате ASCII в буфер, который периодически копируется в список, отображаемый в окне программы.

Дополнительные сведения

Ниже перечислены дополнительные источники информации о файловой системе Windows 9x:

• Пакет DDK для Windows 95/98;

• Марк Руссинович и Брайс Когсуэлл, «Исследование многослойной файловой системы Windows 95», Dr. Dobb’s Journal, декабрь 1995;

• Вальтер Ани (Walter Oney), «Системное программирование для Windows 95», Microsoft Press, 1996 (эту книгу должен прочитать каждый программист VxD);

• Стэн Митчелл (Stan Mitchell), «Внутреннее устройство файловой системы Windows 95», O’Reilly and Associates, 1996.

Ниже приведен список источников информации о файловой системе Windows NT/2000 и (или) программе FileMon:

• Дэвид Соломон (David Solomon) и Марк Руссинович, «Внутреннее устройство Windows 2000, третье издание», 2000;

• Марк Руссинович и Брайс Когсуэлл, «Исследование файловой системы Windows NT», Dr. Dobb’s Journal, февраль 1997;

• «Служебные программы Windows NT: взгляд изнутри», Windows NT Magazine, февраль 1999;

• Раджив Нагер (Rajeev Nagar), «Внутреннее устройство файловой системы Windows NT», O’Reilly and Associates, 1997.

Статьи о программе Filemon в базе знаний Майкрософт

В следующих статьях из базы знаний Майкрософт упоминается об использовании программы Filemon для диагностики или устранения различных ошибок:

• 830903: При попытке открыть файл в сетевой папке он оказывается доступным только для чтения или выводится сообщение о том, что не удается распознать тип файла

• 319844: ACC2002, сообщение об ошибке: компоненту ActiveX не удается создать объект

• 830761: Рекомендации по развертыванию приложений Visual Basic 6.0

• 837932: При входящей репликации службы каталогов Active Directory в Windows 2000 Server и Windows Server 2003 регистрируются события 2108 и 1084

• 819612: ИСПРАВЛЕНИЕ: низкая производительность при удалении вычислителя возможностей обозревателя из кэша

• 286198: ИНСТРУКЦИИ: как отслеживать ошибки «Отказано в разрешении» для файлов библиотек DLL

• 308940: ИНСТРУКЦИИ: как устранять ошибки 1928 «Ошибка при регистрации приложения COM+»

• 814774: ИНСТРУКЦИИ: как устранять неполадки при развертывании веб-узла в Microsoft Content Management Server 2002

• 198038: ИНФОРМАЦИЯ: полезные инструменты для решения проблем, возникающих при создании и развертывании пакетов

• 319440: Задержки при входе по медленному соединению в том случае, если для файла политики не предоставлена нежесткая блокировка

• 260513: PRB: ошибка при установке продуктов Visual Studio

• 306269: PRB: ошибка 80004005 «Обработчику баз данных Microsoft Jet не удается открыть файл «(нет данных)»»

• 306386: PRB: программа FileMon показывает, что библиотеке DAO360.dll не удается загрузить MSJet49.dll, MSJet48.dll и другие файлы MSJetxx.dll

• 243583: PRB: не удается установить пакет Visual Studio из-за файла Mib.bin

• 310586: Экземпляр Exchange MSSearch не переходит в оперативный режим на кластере и при этом регистрируются события с кодом 3055 и 10006

• 555069: Десять параметров безопасности, которые могут привести к возникновению проблем в Microsoft Windows XP Professional Edition и Microsoft Windows Server 2003

• 196453: Исправление ошибок запуска NTVDM и WOW

• 318746: XADM, сообщение об ошибке: ошибка 123. Неверное имя файла или каталога либо неверный синтаксис метки тома

• 296136: XADM: при заполнении хранилища почтовых ящиков появляются сообщения о событиях 3036 и 3026

• 830075: Программа Winmgmt.exe использует ресурсы ЦП более интенсивно, чем ожидалось

• 867651: Не удается добавить сертификат TLS на компьютере, на котором запущен сервер Office Live Communications Server 2003

• 319844: При работе с Access возникает ошибка «Компоненту ActiveX не удается создать объект»

Обзоры утилит от Sysinternals.com:

• Process Explorer (контроль за процессами)
• PageDfrg (дефрагментация системных файлов)
• Autoruns (управление автозагрузкой)
• FileMon (монитор файловой системы)
• RegMon (монитор реестра)

В продолжение цикла статей об утилитах, свободно распространяемых на www.sysinternals.com, обзор Монитора файловой системы FileMon.

Утилита очень проста в использовании, имеет небольшой размер и предоставляет полный контроль над обращениями к файловой системе. FileMon позволяет собрать всю информацию об обращении к файлам системы, программ, показывает какие библиотеки используют приложение и является отличным средством для диагностики проблем, которые могут возникать в работе приложений и системы. Гибкая настройка фильтра позволяет получить сведения об обращениях к файловой системе определенной программы, что значительно облегчает диагностику неисправностей в работе программы. Совместимость со всеми версиями Windows делает FileMon универсальным инструментом.

Внешний вид FileMon показан на рисунке ниже.

Картинка с сайта: www.ixbt.com

При помощи пункта меню File – Path Properties можно получить информацию о свойствах файла, к которому было зафиксировано обращение. При помощи File – Process Properties – информацию о процессе, выполнявшем обращение к файлу.

Пункты меню Edit – Include Process и Edit – Exclude Process служат для быстрой настройки фильтра и либо включают, либо исключают из мониторинга обращения определенных процессов к файловой системе. Пункты Edit – Include Path и Edit – Exclude Path включают или отключают мониторинг обращений любого процесса к определенному файлу.

Пункт меню Edit – Explorer Jump, либо двойной щелчок по строке в окне программы, открывает Проводник и делает текущей ту папку, в которой находится объект, попытка доступа к которому была зафиксирована FileMon.

Окно настройки фильтра FileMon можно открыть при помощи Options – Filter/Highlight. Внешний вид окна настройки фильтра показан на рисунке ниже.

Картинка с сайта: www.ixbt.com

По умолчанию, при первом запуске утилиты, она начинает сбор информации обо всех обращениях к файловой системе. Чтобы включить (Include) или исключить (Exclude) в мониторинг определенный(е) процесс(ы) или путь(и), необходимо прописать их в настройках фильтра. Имена процессов или путей разделяются точкой с запятой. Поле Highlight позволяет указать имя процесса или путь, обращения которых или к которым будет подсвечено в главном окне программы определенным цветом. Это упрощает дальнейшую работу с результатами мониторинга и позволяет оперативно находить интересующую информацию.

Три чек–бокса внизу окна настройки фильтра позволяют настроить протоколирование только определенных действий над объектом, как то Открытие ( Open ), Чтение ( Reads ) или Запись ( Writes ). Эти настройки разрешают максимально сократить объем лишней информации, собираемой монитором, и значительно облегчают поиск необходимых значений в логе работы.

Пункт меню Options – Advanced Output включает протоколирование процесса System и позволяет отслеживать работу диспетчера памяти и протоколировать обращения системы к файлу подкачки.

Пункт меню Volumes позволяет включать или отключать мониторинг обращений только к определенным томам.

В качестве примера работы с FileMon можно решить задачу определения места хранения файлов почтовой базы данных Outlook Express. Для этого нужно настроить фильтр следующим образом:

Картинка с сайта: www.ixbt.com

Т.е. FileMon будет протоколировать только чтение данных процессом msimn.exe. Для сбора информации достаточно настроить фильтр, проверить, что включено протоколирование (отмечен пункт File – Capture Events) и открыть Outlook Express. Пример окна утилиты с собранными данными показан ниже.

Картинка с сайта: www.ixbt.com