有没有办法知道可执行文件已完成的内容(已复制的文件,已复制此文件的文件夹,已编辑的密钥注册表等)?
答案 0 :(得分:4)
Procmon是一个很好的起点。
答案 1 :(得分:3)
确定不同的操作系统有不同的工具。对于MS Windows,Mark Russinovich和Bryce Cogswell提供的SysInternals软件包有很多工具。
它具有实时FileMonitor,DiskMonitor,ProcessMonitor,网络监视器和注册表监视器,以非常详细和易懂的方式显示信息。
你应该下载整个套件,因为它们里面有不同的程序。
答案 2 :(得分:2)
我投了procmon个答案。但是,我想补充一点,procmon几乎只是一个显示和绘制Windows实时注册表项(HKEY_PERFORMANCE_DATA)值的工具。如果您想以编程方式监视某些内容,则只需编写代码即可查看并自行处理HKEY_PERFORMANCE_DATA中的相同注册表值。
答案 3 :(得分:1)
您可以使用来自sysinternals的实用程序,例如ProcessMonitor。有了它,您可以监控注册表,文件系统,网络访问等等(对不起,我不记得所有功能。)