Moo0 File Monitor Portable Multi

Версия программы: 1.11

Официальный сайт: ссылка

Язык интерфейса: Русский, английский и другие

Лечение: не требуется

Системные требования:

Windows XP/2003/Vista/7/8

Moo0 File Monitor позволяет контролировать доступ к файлам в системе.

Вы когда-либо задавались вопросом, что происходит с вашим диском, когда вы за ним не наблюдаете? Почему диск занят? Вы можете найти причины, используя это простое программное обеспечение.

Moo0 File Monitor - программа для мониторинга активности доступа к файлам на жестком диске. Это небольшое и бесплатное приложение отслеживает доступ к файлам другими программами и приложениями, следит за изменением, переименованием, удалением и созданием новых файлов. Вы можете видеть все изменения в режиме реального времени и сохранить данные в лог файл HTM. Это поможет вам выявить какие программы изменяют файлы, например обнаружить кейлоггер который скрытно работает на компьютере и пишет информацию в лог. Программа имеет абсолютный минимум настроек и встроенные скины.

Новое в версии:

- Officially supported Windows 8.

- Added Greek language support.

- Supported 6 more languages in partial.

- Improved its installer so that the message like “This program might not have installed correctly” won't be shown on Windows 7/8.

- Bug fixes in the uninstaller.

- Its English name has changed from "Moo0 FileMonitor" to "Moo0 File Monitor".

О портативной версии:

Портативная версия предоставлена разработчиком и не требует установки, может быть запущена из любого места.

Монитор файловой системы (File monitor)

В продолжение цикла статей об утилитах, свободно распространяемых на www.sysinternals.com. обзор Монитора файловой системы FileMon.

Утилита очень проста в использовании, имеет небольшой размер и предоставляет полный контроль над обращениями к файловой системе. FileMon позволяет собрать всю информацию об обращении к файлам системы, программ, показывает какие библиотеки используют приложение и является отличным средством для диагностики проблем, которые могут возникать в работе приложений и системы. Гибкая настройка фильтра позволяет получить сведения об обращениях к файловой системе определенной программы, что значительно облегчает диагностику неисправностей в работе программы. Совместимость со всеми версиями Windows делает FileMon универсальным инструментом.

Внешний вид FileMon показан на рисунке ниже.

При помощи пункта меню File – Path Properties можно получить информацию о свойствах файла, к которому было зафиксировано обращение. При помощи File – Process Properties – информацию о процессе, выполнявшем обращение к файлу.

Пункты меню Edit – Include Process и Edit – Exclude Process служат для быстрой настройки фильтра и либо включают, либо исключают из мониторинга обращения определенных процессов к файловой системе. Пункты Edit – Include Path и Edit – Exclude Path включают или отключают мониторинг обращений любого процесса к определенному файлу.

Пункт меню Edit – Explorer Jump. либо двойной щелчок по строке в окне программы, открывает Проводник и делает текущей ту папку, в которой находится объект, попытка доступа к которому была зафиксирована FileMon.

Окно настройки фильтра FileMon можно открыть при помощи Options – Filter/Highlight. Внешний вид окна настройки фильтра показан на рисунке ниже.

По умолчанию, при первом запуске утилиты, она начинает сбор информации обо всех обращениях к файловой системе. Чтобы включить (Include ) или исключить (Exclude ) в мониторинг определенный(е) процесс(ы) или путь(и), необходимо прописать их в настройках фильтра. Имена процессов или путей разделяются точкой с запятой. Поле Highlight позволяет указать имя процесса или путь, обращения которых или к которым будет подсвечено в главном окне программы определенным цветом. Это упрощает дальнейшую работу с результатами мониторинга и позволяет оперативно находить интересующую информацию.

Три чек–бокса внизу окна настройки фильтра позволяют настроить протоколирование только определенных действий над объектом, как то Открытие ( Open ), Чтение ( Reads ) или Запись ( Writes ). Эти настройки разрешают максимально сократить объем лишней информации, собираемой монитором, и значительно облегчают поиск необходимых значений в логе работы.

Пункт меню Options – Advanced Output включает протоколирование процесса System и позволяет отслеживать работу диспетчера памяти и протоколировать обращения системы к файлу подкачки.

Пункт меню Volumes позволяет включать или отключать мониторинг обращений только к определенным томам.

В качестве примера работы с FileMon можно решить задачу определения места хранения файлов почтовой базы данных Outlook Express. Для этого нужно настроить фильтр следующим образом:

Т.е. FileMon будет протоколировать только чтение данных процессом msimn.exe. Для сбора информации достаточно настроить фильтр, проверить, что включено протоколирование (отмечен пункт File – Capture Events ) и открыть Outlook Express. Пример окна утилиты с собранными данными показан ниже.

Теперь нужно остановить протоколирование и в столбце Path главного окна утилиты найти имя файла базы данных. Например, Входящие.dbx. Двойной щелчок по этой строке откроет Проводник на той папке, где хранятся почтовые базы данных.

Hackersoft - File Monitor (Filemon)

А это самый лучший монитор, шпионящий за

операциями с файлами, которые производят

исследуемые нами программки. Правда он не

лучший, он такой один или один из двух :)

http://www.sysinternals.com

Краткая cправка по FileMon-у

Если расчитывать на то, что мою небольшую справку по

RegMon-у Вы уже прочитали, то кажется, что достаточно

написать только о том, чем они между собой отличаются. Так я

сразу и собирался сделать, но после передумал. Скажу честно,

побоялся вконец запутаться, тем более, что FileMon я знаю

меньше:-). Да и кроме того, если кому-нибудь нужна будет

информация только об этой утилите, не придется читать

описание обоих. Так что будем писать все по-порядку.

Написанное будет соответствовать 7-ой версии программы

(недавно авторы объявили, что эта версия станет последней, а

Ни в коем случае не устанавливайте программу в папку, в

полном имени которой содержатся нелатинские символы! Будут

Назначение FileMon-а в отслеживании обращений к файловой

системе Вашего компьютера. При этом пользователю FileMon-a

можно будет увидеть, какие файлы открывала некая программа

(или даже только пыталась это делать), из какого фрагмента

файла происходило чтение и каков был размер прочитанных

блоков данных. Аналогично и для операций записи в файлы. Но

об этом, как и о других возможностях программы, будет

написано далее. А пока рассмотрим, что именно можно увидеть в

окне программы.

Итак, для каждого перехваченной операции обращения к объектам

файловой системы в столбцах таблицы последовательно показаны:

# - номер текущей записи (в том порядке, в котором были

перехвачены обращения к файлам). Пропуски номеров означают,

что из-за переполнения буфера FileMon не справляется с

потоком. Выход один - фильтровать сообщения.

Time - время перехвата (можно выбрать или текущее время или

время в секундах (восемь разрядов после запятой)

отсчитываемое от запуска программы или последней очистки окна)

Process - иконка программы, имя и 32-битный идетификатор того

процесса, из которого происходит вызов функции обращения к

файлам. Для случая, когда мы следим за каким-то EXE-файлом,

обычно имя его процесса будет отображаться не более чем 8-ю

первыми буквами имени этого файла. В любом случае, что бы не

забивать отчет ненужными Вам сведениями, следует

Path - путь к файлу или каталогу, на который воздействовала

функция. Часть пути может быть представлена и некоей файловой

маской (например c:\*.tmp), что обычно означает, что

происходит поиск (перебор) файлов, имена которых соответсвует

некоторому шаблону.

Result - результат, который возвратила функция. Результат

вызова API-функции может содержать не только успешную

информацию, но и, например, номер произошедшей ошибки.

FileMon показывает этот номер в виде имени константы,

соответствующей этой ошибке. Наиболее частые результаты в

FileMon-e: SUCCESS, NOTFOUND, NOMORE, ACCDENIED и, я думаю,

они говорят сами за себя.

Other - информация о других используемых или возвращаемых

функцией данных. Что именно покажет FileMon, сильно зависит

от конкретной функции и от решения авторов программы о

важности этой информации. Например, при открытии файла (Open)

всегда сообщается о режиме в котором файл будет открыт

Save - Вы можете сохранить содержимое окна в файл отчета

(текст, разделенный табуляторами). Вы можете просматривать

отчет, открыв его, например в Excell. На панели инструментов

- кнопочка в виде дискетки

Path Properties. - показывает свойства выделенного файла

или папки (если использована маска, то команда обламывается:-)

Process Properties. - можно посмотреть на некоторые

свойства выделенного в таблице процесса (негусто там их:)

Capture Events - включает/выключает режим перехвата обращений

к файлам. На панели инструментов это кнопка-лупа

Exlude Path - добавляет путь из выделенной строки в список

игнорируемых

Find. - поиск строки, содержащей указанный Вами текст

(производится по всем столбцам). Если есть в списке

выделенная строка, то поиск начнется c нее, если нет, то c

начала списка. Кнопка в виде бинокля.

Explorer Jump. - быстрый переход в Проводнике к файлу или

папке, соответствующими графе Path. Если путь не существует,

то переход будет осуществлен по возможности как можно ближе к

Clear Display - удаляет все записи из таблицы. Если записей

уж очень много, лучше не использовать эту команду, а закрыть

программу и открыть ее снова. Этим вы сэкономите уйму времени

и иногда предотвратите зависание FileMon-a. Команде

соответствует кнопочка, изображающая ластик, уже почти

стерший полсписка (и тут он не слишком быстр:)

Font. - выбор шрифта для окна

Highlight Colors. - выбор двух цветов FG-цвета текста и

BG-цвета фона для подсвечиваемых записей

Filter/Highlight. - определение фильтров для отображения и

подсветки (подробности позже). Значок - воронка, через

которую что-то льется

History Depth. - возможность ограничить максимальное число

перехватываемых обращений к реестру (0 - без ограничений).

Значок на панели инструментов - усеченный список.

Auto Scroll - включить/отключить автопрокрутку содержимого

Help. - вызов очень краткой справки на английском языке

Название говорит само за себя: получение информации о

логическом диске. В графе Other я все время вижу Free Space,

что означает, по видимому, что процессу была нужна информация

о доступном свободном пространстве на этом диске.

Attributes

Функция объединяет в себе все операции с атрибутами файла и

его датами. Если в поле Other указано GetAttributes, то

значит функция только вычитывала атрибуты, а вот если там

SetAttributes, то значения атрибутов функцией изменялись.

Если же Вы видите в поле Other одно из этих значений: Get

Creation, Get Access или Get Modify, значит функция

применялась для определения даты файла (соответственно даты

создания, последнего доступа и модификации). Наличие одного

из этих значений Set Creation, Set Access или Set Modify в

Other однозначно говорит о том, что функция изменяла одну из

этих дат. Не буду повторять их, но зато для новичков в ентом

деле сообщу (уж придется поверить мне на слово:), что любые

измения атрибутов и дат файла никак не затрагивают его

самого, а вся эта информация записывается не в файл, а в

специально отведенные места на диске. Именно к этим местам и

Функция задает текущую позицию в файле для операций чтения и

записи. В поле Other сначала указывается запрашиваемая

Эта функция начинает поиск файлов/каталогов с заданной маской

имени в определенной папке. После успешного выполнения этой

функции в поле Other помещается имя первого файла/каталога,

соответствующего маске.

Используется для продолжения поиска, начатого предыдущей

функцией. Если больше файлов не найдено, результат вызова

Э-э-э. м-м-м. Кто бы мне это самому толком обяснил:

"выполняет заданную операцию с устройством". Other содержит

что-то вроде Subfunction: 08h (похоже, конкретный номер

Вряд ли Вам захочется видеть сразу всё, что имеет хоть

какое-нибудь отношение к файловым операциям. Поэтому нам не

обойтись без фильтра монитора. Откроем его диалоговое окно.

Первый элемент фильтра это Include, то есть фильтр того,

что мы хотели бы включить в отчет. Важно знать, что

фильтрация происходит не по отдельным колонкам, а по строкам

таблицы отчета целиком за исключением только номера записи и

времени перехвата. Например, внесение в это поле названия

функции приведет к перехвату именно этой функции, а ввод

имени процесса позволит следить именно только за этим

процессом. Допустимо использование символа подстановки * для

определения произвольного фрагмента строки (например, фильтр

ms*.dll дает возможность следить за любыми упоминаниями DLL

файлов с имена, начинающмимся с букв ms /обычно это продукция

компании MicroSoft/). Можно вводить любое количество

фильтров, разделяя их между собой точками с запятой. Регистр

при фильтрации не учитывается.

Второй элемент фильтра это Exclude. то есть фильтр того,

что мы не хотели бы видеть в отчете. Таким способом можно

исключить из отчета какие-нибудь программы, очень уж активные

в обращениях к файлам и этим сильно захламляющие наш отчет,

или отключить некую папку из мониторинга, если нам не

неинтересна активность внутри ее и тд. Синтаксис аналогичен

фильтру Include.

Третий элемент, Highlight, это вообщем-то и не фильтр

вовсе. Он не влияет на то, будет или нет отображаться вызов

некоторой функции, а влияет лишь на то, будет ли он подсвечен

(не забыли выбрать цвета подсветки?). Подсветка позволяет

среди большого количества строк найти то, что Вас сейчас

интересует. Синтаксис аналогичен фильтру Include. Этот фильтр

можно менять на лету и изменения будут применены для уже

отображенных ранее записей.

Удобно, что программа запоминает историю ввода фильтров, и

Вы позже сможете вновь воспользоваться ими. Кстати, при

перезапуске программа восстанавливает последний набор

фильтров. Имейте это ввиду!

Кроме строковых фильтров в диалоге есть несколько

переключателей, которые могут производить фильтрацию по

несколько другим критериям. Так например можно отслеживать

только открытие файлов - надо включить только Log Opens.

Можно отключить фиксацию операций чтения (выключить Log

Reads) и следить только за тем, что в него записывается

(включить Log Writes). Пусть вас не смущает, если одни и те

же строки будут попадать в отчет при абсолютно разных

позициях переключателей. Например, и для того, чтобы прочесть

что-нибудь из файла и для того, чтобы в него записать

что-нибудь, все равно ведь надо файл этот открыть, ну а после

и закрыть. Вот и получаются такие накладочки, но фильтры эти

тем не менее очень нужные. Можно применить новый фильтр даже

не закрывая диалоговое окно, просто нажав на кнопку Apply. А

чтобы сбросить все фильтры в значение по умолчанию,

предусмотрена кнопка Defaults в диалоговом окне фильтра.

Используем Resource Monitor для определения блокировок файлов в Windows 7

Многие опытные пользователи для получения расширенной информации о процессах и приложениях, запущенных  в системе,  используют утилиту Process Explorer от SysInternals.  Эта на самом деле отличная утилита, однако в Windows 7 появился новый удобный инструмент, который называется Resource Monitor (Монитор ресурсов), с помощью него можно получить расширенную информацию о запущенных процессах, связанных с ними дескрипторах и библиотеках (например, dll файлов). Resource Monitor возможно использовать в качестве инструмента для исследования процессов и определения блокировок файлов, что может особенно пригодится в случаях, когда вы забыли свой боевой набор утилит дома, а разобраться надо сейчас.

1. Для запуска Resource Monitor, нажмите кнопку Пуск,  введите resmon. exe и нажмите enter.

2. Выберите вкладку процессора (CPU), и разверните вкладку Associated Handles , нажав на ее название 3. Введите имя файла или часть названия файла в текстовом поле. В результате отобразится список процессов, которые в настоящий момент используют данный файл (ы).

В поле поиска можно также ввести имя или путь к любому ключу реестра, в результате чего Resource Monitor  отобразит список всех процессов, которые используют указанный ключ/ветку реестра.

Filemon - отслеживание обращений к файловой системе

    Filemon - программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями с файлами, сетью и именованными каналами. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, FileMon. а также программа мониторинга обращений к реестру Regmon были заменены одной программой Process Monitor. которая, все же, утратила некоторые возможности предшественников и менее удобна в использовании. Несмотря на то, что Process Monitor обладает большими возможностями, в среде операционных систем Windows 2000/XP, для мониторинга обращений к файлам и реестру, нередко удобнее использовать Filemon и Regmon .

Данная статья предназначена для пользователей Windows XP/2000, использующих Filemon версий 6.x - 7.x

Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке filemon.chm и текстовый файл с кратким описанием и лицензионным соглашением.

    После запуска исполняемого файла filemon.exe. будет выполняться перехват всех операций с файлами и вывод данных в основном окне программы:

Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Для остановки процесса перехвата обращений к файловой системе нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.

Каждому обращению к файлу соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра содержимого каталога, соответствующего данной записи об операции с файлом. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:

# - номер строки с начала сессии перехвата обращений к файловой системе.

Time - время обращения. Формат можно задать с использованием меню Options- Clock Time и точность - Options - Show Milliseconds

Process - имя и идентификатор процесса (PID), который вызвал обращение к файлу.

Request - тип запроса. Типы запросов отслеживаемые filemon:

CLOSE - закрытие файла.

CREATE - создание файла

DELETE - удаление

DIRECTORY - запрос информации о каталоге

LOCK - монопольный захват ресурса

OPEN - открытие файла

QUERY INFORMATION - запрос информации о ресурсе

READ - операция чтения данных

SET INFORMATION - изменить информацию о ресурсе

UNLOCK - отменить монопольный захват ресурса

WRITE - операция записи данных

Result - результат выполнения запроса:

END OF FILE - обнаружен признак конца файла (EOF)

FILE NOT FOUND - файл не найден

NAME COLLISION - была попытка создать новый файл, но файл с таким именем уже существует.

NO MORE FILES - список содержимого каталога сформирован.

PATH NOT FOUND - не найден путь

RANGE NOT LOCKED - попытка выполнить разблокировку файла, который не был заблокирован.

SUCCESS - операция выполнена успешно.

Other - дополнительная информация :

Attributes - атрибуты файла - А- архивный, D-каталог, H-скрытый, R-только чтение, S-системный.

Exd - значение YES говорит об установке монопольного доступа к ресурсу

FileBasicInformation - получена(установлена) базовая информация о ресурсе (время модификации, атрибуты и т.п)

FileBothDirectoryInformation - запрос дополнительной информации о каталоге. Обычно используется для получения списка файлов.

FileNameInformation - информация о длине имени файла.

FileRenameInformation - информация о переименовании файла.

Lenth - длина. Число считанных или записанных данных, размер файла

Offset - смещение, начало области данных, над которыми выполняется операция.

Options - дополнительные параметры для операций над ресурсом.

    Пункты основного меню File

Load - открыть из файла ранее сохраненный отчет и просмотреть его

Save - сохранить содержимое окна в файл отчета .

Save As - выбрать другое расположение и имя для файла отчета

Path Properties - свойства выделенного файла или каталога.

Process Properties - свойства процесса, инициировавшего операцию. (исполняемый файл, путь, параметры командной строки и т.п.)

Capture Events - CTRL+E - включить перехват событий обращений к файловой системе.

Пункты основного меню Edit

Copy - скопировать в буфер обмена выделенные строки.

Delete - удалить выделенные строки.

Include Process - добавить выделенный процесс в группу отслеживаемых

Exclude Process - исключить выделенный процесс из группы отслеживаемых

Include Path - добавляет путь из выделенной строки в список отслеживаемых

Exclude Path - исключить путь из выделенной строки из списка отслеживаемых. Find - поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.

Explorer Jump - быстрый переход в Проводнике к файлу или каталогу, указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.

Clear Display - очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.

Пункты основного меню Options

Font - выбор шрифта для окна

Highlight Colors - выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых.

Filter/Highlight - определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах - ниже по тексту.

History Depth - максимальное число перехватываемых событий. (0 - без ограничений).

Auto Scroll - включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.

Clock Time - переключение формата времени (часы или секундомер)

Show Milliseconds - дополнительно в значении времени показывать миллисекунды.

Always On Top - окно программы всегда поверх всех остальных окон

Пункты основного меню Volumes

Данное меню позволяет выбрать тома для мониторинга. Обычно Filemon используется для отслеживания обращений к локальным (Fixed, CD, Removable) и сетевым дискам (Network). Однако возможно включение режима наблюдения за операциями для именованных каналов и почтовых ящиков. Именованный канал (named pipe)- это средство для передачи данных между процессами, являющимися клиентом или сервером. Сервером является процесс, создавший именованный канал, а клиентом - процесс, подключающийся к созданному именованному каналу. Именованные каналы, в основном, используются внутри самой ОС для взаимодействия между службами системы (сервисами) или взаимодействия приложений с сервисами. Как, например, управление службами Windows с использованием оснастки панели управления. В качестве программного интерфейса приложений для посылки и приема сообщений по именованным каналам используются те же самые функции Windows API, что и при работе с файлами (ReadFile, WriteFile). Создаваемый канал так же получает свое имя, указатель файла (handle) и для него возможны операции записи и чтения как для обычного файла в составе файловой системы. Взаимодействующие процессы могут выполняться как на одном компьютере, так и на разных внутри локальной сети..

Почтовые ящики (mail slots) обладают такими же свойствами, как и именованные каналы, но используются для обмена данными между приложениями.

По умолчанию, утилита Filemon настроена на вывод информации об обращениях к файловой системе Windows, выполняемых всеми процессами системы. Естественно, отыскать интересующее событие при таких условиях перехвата, довольно сложно и в программе предусмотрена возможность фильтровать выходные данные по

- процессу

- пути файла/каталога

- типу действия

Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Filemon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L

Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом "точка с запятой". Возможно использование символа * (звездочка) в качестве шаблона (wildcard). Если указать * в поле Include. то в условия перехвата событий будут включены все действия всех процессов. Если в поле Include будет указан фильтр "C:\windows", то утилита будет собирать все данные, связанные с операциями ввода/вывода для указанного пути любых процессов системы.

В поле Exclude указываются фильтры для процессов и путей, которые должны быть исключены из выходных данных. Если в поле Include установлен фильтр C:\WINDOWS, а в поле Exclude - C:\WINDOWS\SYSTEM32то операции ввода/вывода для каталога C:\WINDOWS\SYSTEM32 будут исключены из выходных данных утилиты Filenmon.

В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.

В окне настройки фильтров имеется возможность установки флажков (checkboxes) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.

Log Opens - выводить данные об операциях, связанных с открытием файлов.

Log Reads - выводить данные об операциях чтения .

Log Writes -выводить данные об операциях записи.

В последних версиях были добавлены

Log Errors - выводить данные об операциях, завершившихся с ошибкой .

Log Successes - выводить данные об операциях, выполненных успешно .

Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Filemon Filters     На практике, задание критериев фильтрации выводимых данных гораздо удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке

Include Process и Include Path - добавить в поле Include процесс или путь, отображаемый в текущей строке.

Exclude Process и Exclude Path - исключить из выходных данных Filemon процесс или путь, отображаемый в текущей строке.

Обычно, используется исключение путей и процессов, информация о файловых операциях которых не нужна в выходных данных.

    Одно из основных применений Filemon - слежение за операциями с файловой системой процесса, аварийно завершающегося с сообщением о том, что не найден файл или путь. Особенно, если сообщение не содержит имени файла или каталога. Нередко встречаются случаи, когда программа запускается, может даже выдать какую-нибудь заставку и завершается без каких-либо сообщений. С подобным явлением приходилось сталкиваться при запуске некоторых компьютерных игр. Причиной было отсутствие файлов или каталогов, неверное расположение временных или конфигурационных файлов, использование кириллических символов в именах и т.п. Причин может быть множество, и определять их простым перебором возможных вариантов - дело трудоемкое и неблагодарное. А Filemon позволяет легко определить недостающие, или неверно расположенные, файлы и каталоги.

Второе, не менее важное направление - исследование работы конкретного приложения. Например, нужно определить, в каком месте сохраняются настройки обозревателя Mozilla Firefox.

Запускаете Filemon и определяете условия фильтрации:

Include - firefox

Exclude - оставляете пустым

Поле Highlights тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват файловых операций и вывод данных в основном окне Filemon.

После начала отслеживания, переходите к настройкам обозревателя и изменяете какую-либо из них. После сохранения настроек переключаетесь в окно Filemon. останавливаете процесс перехвата событий и анализируете полученные данные. Конечно, в случае сложной программы, операций ввода/вывода может быть немалое количество, и придется разбираться исходя из здравого смысла и логики работы приложения. Так, наиболее вероятно, что настройки не хранятся во временных файлах, поэтому их можно сразу исключить из анализа. Следующее предположение - настройки обозревателя связаны с профилем пользователя, следовательно в нем же должны сохраняться. ( каталог C:\documents And Settings\пользователь. для Win2k/XP). Сохранение настоек - это операция записи. В результате таких предположений круг поиска будет значительно сужен и файл настроек будет найден без труда.

Не совсем по теме. Найденный таким образом файл с настройками Mozilla Firefox (с именем prefs.js) оказался довольно интересным по содержанию, особенно комментариями в начале файла

# Mozilla User Preferences

/* Do not edit this file.

* If you make changes to this file while the application is running,

* the changes will be overwritten when the application exits.

* To make a manual change to preferences, you can visit the URL about:config

* For more information, see http://www.mozilla.org/unix/customizing.html#prefs

Из перевода становится понятно, что настройки, внесенные вручную в данный файл, при запущенном обозревателе, не будут сохранены, поскольку будут перезаписаны при его завершении. И для ручного изменения настроек следует в адресной строке Mozilla Firefox набрать about:config. За дополнительной информацией предлагается перейти по ссылке на сайт mozilla.org.

А также, понятно, что для сохранения настроек, можно сохранить содержимое файла prefs.js под другим именем. Можно проверить, как поведет себя обозреватель при отсутствии файла настроек или его повреждении.

Данный пример, вполне наглядно иллюстрирует, насколько может быть полезен инструмент мониторинга использования файловой системы.

Если вы желаете поделиться ссылкой на эту страничку в своей социальной сети, можете воспользоваться кнопкой "Поделиться"

Или рекомендовать сайт пользователям Google+

Скачать драйвер Lenovo ThinkPad T440s Monitor INF File Tool for Windows 7

Размер: 318 KB Разработчик: Lenovo ОС: Windows 7 / Windows 7 64 bit / Windows 8 / Windows 8 64 bit Имя файла: geoi05ww.exe

This package installs the Monitor information file which defines the following items for ThinkPad LCD:

- Monitor INF (Information file for the maximum resolution and monitor naming)

- Windows ICM (Image Color Management file for ICC Color Profile)

You can obtain an accurate color representation with the Windows ICM file.

If you use the preload environment, you do not need this package. This package is required when you install Windows OS without the preload image.

If this package has been installed, updating (overwrite-installing) this package will fix problems, add new functions, or expand functions.

- Added support for ThinkPad T440s, X240s.

- Combined Windows 7 and Windows 8 drivers.

It is highly recommended to always use the most recent driver version available.

Do not forget to check with our site as often as possible in order to stay updated on the latest drivers, software and games.

Try to set a system restore point before installing a device driver. This will help if you installed a wrong driver. Problems can arise when your hardware device is too old or not supported any longer.

Примечание: Ссылка "скачать" может вести как непосредственно на файл, так и на сайт производителя, на котором Вы можете найти нужный файл.

Это связано с тем, что некоторые производители не позволяют размещать прямые ссылки на файлы.

Sysinternals (Microsoft) Filemon

Advanced Member

Опубликованно: Zormax. Включено: Jun-01-2004

Краткая cправка по FileMon-у

Если расчитывать на то, что мою небольшую справку по RegMon-у Вы уже прочитали, то кажется, что достаточно написать только о том, чем они между собой отличаются. Так я сразу и собирался сделать, но после передумал. Скажу честно, побоялся вконец запутаться, тем более, что FileMon я знаю меньше. Да и кроме того, если кому-нибудь нужна будет информация только об этой утилите, не придется читать описание обоих. Так что будем писать все по-порядку.

Написанное будет соответствовать 6-ой версии программы. Если Вы еще не обзавелись ею, можете взять прямо здесь. Этот файл не русифицирован, потому как программа обновляется очень часто и за переводами не угонишься, а кроме того количество пунктов меню и диалогов в программе невелико и разобраться с ними будет несложно. Назначение FileMon-а в отслеживании обращений к файловой системе Вашего компьютера. При этом пользователю FileMon-a можно будет увидеть, какие файлы открывала некая программа (или даже только пыталась это делать), из какого фрагмента файла происходило чтение и каков был размер прочитанных блоков данных. Аналогично и для операций записи в файлы. Но об этом, как и о других возможностях программы, будет написано далее. А пока рассмотрим что именно можно увидеть в окне программы.

Итак, для каждого перехваченной операции обращения к объектам файловой системы в столбцах таблицы последовательно показаны: # - номер текущей записи (в том порядке, в котором были перехвачены обращения к файлам). Пропуски номеров означают, что из-за переполнения буфера FileMon не справляется с потоком. Выход один - фильтровать сообщения. Time - время перехвата (можно выбрать или текущее время или время в секундах (восемь разрядов после запятой) отсчитываемое от запуска программы или последней очистки окна) Process - иконка программы, имя и 32-битный идетификатор того процесса, из которого происходит вызов функции обращения к файлам. Для случая, когда мы следим за каким-то EXE-файлом, обычно имя его процесса будет отображаться не более чем 8-ю первыми буквами имени этого файла. В любом случае, что бы не забивать отчет ненужными Вам сведениями, следует отфильтровать все процессы, кроме исследуемого. Об этом несколько подробнее будет дальше. Request - фактически это эквивалент имени функции, которую запросил текущий процесс для проведения некоторых файловых операций. Path - путь к файлу или каталогу, на который воздействовала функция. Часть пути может быть представлена и некоей файловой маской (например c:\*.tmp), что обычно означает, что происходит поиск (перебор) файлов, имена которых соответсвует некоторому шаблону. Result - результат, который возвратила функция. Результат вызова API-функции может содержать не только успешную информацию, но и, например, номер произошедшей ошибки. FileMon показывает этот номер в виде имени константы, соответствующей этой ошибке. Наиболее частые результаты в FileMon-e: SUCCESS, NOTFOUND, NOMORE, ACCDENIED и, я думаю, они говорят сами за себя. Other - информация о других используемых или возвращаемых функцией данных. Что именно покажет FileMon, сильно зависит от конкретной функции и от решения авторов программы о важности этой информации. Например, при открытии файла (Open) всегда сообщается о режиме в котором файл будет открыт (например наборчик CREATENEW REPLACEEXISTING WRITEONLY означает приблизительно следующее: "Открыть файл только для записи, если его нет, создать новый, если файл есть, то заменить его содержимое"). Некоторые функции (например Delete) при выполнении ничего в поле Other не помещают.

Теперь Вы знаете, что нам показывает программа в отчете-таблице. Сейчас немного о командах меню и соответствующих им кнопочкам панели инструментов.

Панель инструментов

File Load - Можно открыть из файла ранее сохраненный отчет и просмотреть его Save - Вы можете сохранить содержимое окна в файл отчета (текст, разделенный табуляторами). Вы можете просматривать отчет, открыв его, например в Excell. На панели инструментов - кнопочка в виде дискетки Save As. - можете выбрать другое расположение и имя для файла отчета Path Properties. - показывает свойства выделенного файла или папки (если использована маска, то команда обламывается:- ) Process Properties. - можно посмотреть на некоторые свойства выделенного в таблице процесса ( негусто там их Capture Events - включает/выключает режим перехвата обращений к файлам. На панели инструментов это кнопка-лупа Exit - дело сделано, уходим Edit Copy - скопировать в буфер только выделенные части таблицы (строки копируются целиком) Delete - удалить из таблицы выделенные записи Далее идут несколько команд для фильтрации, причем по вашему желанию измененные фильтры могут быть применены и к уже отмониторенным операциям

Iclude Process - добавляет выделенный процесс в группу отслеживаемых Exlude Process - добавляет выделенный процесс в группу игнорируемых Include Path - добавляет путь из выделенной строки в список отслеживаемых Exlude Path - добавляет путь из выделенной строки в список игнорируемых Find. - поиск строки, содержащей указанный Вами текст (производится по всем столбцам). Если есть в списке выделенная строка, то поиск начнется c нее, если нет, то c начала списка. Кнопка в виде бинокля. Explorer Jump. - быстрый переход в Проводнике к файлу или папке, соответствующими графе Path. Если путь не существует, то переход будет осуществлен по возможности как можно ближе к запрошенному месту. Удобно вызывать также двойным щелчком мыши или нажатием на кнопку в виде значка, стандартного для Проводника. Clear Display - удаляет все записи из таблицы. Если записей уж очень много, лучше не использовать эту команду, а закрыть программу и открыть ее снова. Этим вы сэкономите уйму времени и иногда предотвратите зависание FileMon-a. Команде соответствует кнопочка, изображающая ластик, уже почти стерший полсписка (и тут он не слишком быстр: ) Options Font. - выбор шрифта для окна Highlight Colors. - выбор двух цветов FG-цвета текста и BG-цвета фона для подсвечиваемых записей Filter/Highlight. - определение фильтров для отображения и подсветки (подробности позже). Значок - воронка, через которую что-то льется History Depth. - возможность ограничить максимальное число перехватываемых обращений к реестру (0 - без ограничений). Значок на панели инструментов - усеченный список. Auto Scroll - включить/отключить автопрокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись. Значок - список со стрелочкой, направленной в конец списка. Clock Time - если включено, то для перехваченного события фиксируется текущее время (по системным часам компьютера). Значок переключается от часов до секундомера соответственно выбранному режиму Show Milliseconds - дополнительно в цифре времени показывать и миллисекунды (только для режима фиксации системного времени) Always On Top - поместить окно программы поверх всех окон Help Help. - вызов очень краткой справки на английском языке About. - скромное напоминание о том, кто это все для нас соорудил. И спасибо им за это! А теперь ( я еще не надоел Вам?) коротко об некоторых функциях, которые можно увидеть в окне отчета: GetDiskInfo Название говорит само за себя: получение информации о логическом диске. В графе Other я все время вижу Free Space, что означает, по видимому, что процессу была нужна информация о доступном свободном пространстве на этом диске. Attributes Функция объединяет в себе все операции с атрибутами файла и его датами. Если в поле Other указано GetAttributes, то значит функция только вычитывала атрибуты, а вот если там SetAttributes, то значения атрибутов функцией изменялись. Если же Вы видите в поле Other одно из этих значений: Get Creation, Get Access или Get Modify, значит функция применялась для определения даты файла (соответственно даты создания, последнего доступа и модификации). Наличие одного из этих значений Set Creation, Set Access или Set Modify в Other однозначно говорит о том, что функция изменяла одну из этих дат. Не буду повторять их, но зато для новичков в ентом деле сообщу (уж придется поверить мне на слово, что любые измения атрибутов и дат файла никак не затрагивают его самого, а вся эта информация записывается не в файл, а в специально отведенные места на диске. Именно к этим местам и обращается впоследствии операционная система для получения нужной ей информации о файловых атрибутах и датах (в принципе даже возможна и такая ситуация: файла уже нет в помине, а получить информацию о нем не составляет труда). Directory Группа операций над директориями. Смотрим в последнее поле и если CREATE, значит речь идет о создании нового каталога, если DELETE, то об удалении существующего, если CHECK или QUERY, то спросите у кого-нибудь другого. Open Открывает (иногда перед этим и создает) файл для дальнейших операций над ним. Seek Функция задает текущую позицию в файле для операций чтения и записи. В поле Other сначала указывается запрашиваемая позиция (если Beginning, то от начала файла, End - от конца), а через дробь новая позиция (всегда относительно начала файла) уже после выполнения функции. Для тех, кто не знаком с азами программирования: все позиции отсчитываются от нуля. Read Понятно, что эта функция читает некоторый непрерывный блок данных из файла. В последней графе при этом видно с какой позиции началось чтение (Offset) и какова длина блока прочитанных данных (Length). Write Аналогично предыдущей функции, но только уже для записи данных в файл. Close Функция закрывает ранее открытый файл. Если после этой команды файл все еще остается открытым для какого-нибудь другого процесса, то в графе Other будет информация CLOSE_FOR_PROCESS, в противном случае там будет CLOSE_FINAL. Rename Неужели и это требует пояснений? Новое имя для файла можно будет увидеть в графеOther. Обратите внимание, что файл при этом может быть так же перемещен в другой каталог. Delete Провожает файл в последний путь (сорри, удаляет FindOpen Эта функция начинает поиск файлов/ каталогов с заданной маской имени в определенной папке. После успешного выполнения этой функции в поле Other помещается имя первого файла/каталога, соответствующего маске. FindNext Используется для продолжения поиска, начатого предыдущей функцией. Если больше файлов не найдено, результат вызова будет NOMORE. Кстати, надо сказать, что описанные функции поиска позволяют выяснить о найденном файле не только какое у него имя, но и множество иной информации. Например, можно узнать даты создания, модификации и последнего доступа для этого файла, а также его размер и атрибуты. К сожалению вся эта информация не видна пользователю программы. FindClose Как Вы уже догадались, эта функция завершает ранее начатый цикл поиска файлов/папок. Ioctl Э-э-э. м-м-м. Кто бы мне это самому толком обяснил: "выполняет заданную операцию с устройством". Other содержит что-то вроде Subfunction: 08h (похоже, конкретный номер операции) Вряд ли Вам захочется видеть сразу всё, что имеет хоть какое-нибудь отношение к файловым операциям. Поэтому нам не обойтись без фильтра монитора. Откроем его диалоговое окно. Первый элемент фильтра это Include, то есть фильтр того, что мы хотели бы включить в отчет. Важно знать, что фильтрация происходит не по отдельным колонкам, а по строкам таблицы отчета целиком за исключением только номера записи и времени перехвата. Например, внесение в это поле названия функции приведет к перехвату именно этой функции, а ввод имени процесса позволит следить именно только за этим процессом. Допустимо использование символа подстановки * для определения произвольного фрагмента строки (например, фильтр ms*.dll дает возможность следить за любыми упоминаниями DLL файлов с имена, начинающмимся с букв ms /обычно это продукция компании MicroSoft/). Можно вводить любое количество фильтров, разделяя их между собой точками с запятой. Регистр при фильтрации не учитывается.

Второй элемент фильтра это Exclude. то есть фильтр того, что мы не хотели бы видеть в отчете. Таким способом можно исключить из отчета какие-нибудь программы, очень уж активные в обращениях к файлам и этим сильно захламляющие наш отчет, или отключить некую папку из мониторинга, если нам не неинтересна активность внутри ее и тд. Синтаксис аналогичен фильтру Include.

Третий элемент, Highlight, это вообщем-то и не фильтр вовсе. Он не влияет на то, будет или нет отображаться вызов некоторой функции, а влияет лишь на то, будет ли он подсвечен (не забыли выбрать цвета подсветки?). Подсветка позволяет среди большого количества строк найти то, что Вас сейчас интересует. Синтаксис аналогичен фильтру Include. Этот фильтр можно менять на лету и изменения будут применены для уже отображенных ранее записей.

Удобно, что программа запоминает историю ввода фильтров, и Вы позже сможете вновь воспользоваться ими. Кстати, при перезапуске программа восстанавливает последний набор фильтров. Имейте это ввиду! Кроме строковых фильтров в диалоге есть несколько переключателей, которые могут производить фильтрацию по несколько другим критериям. Так например можно отслеживать только открытие файлов - надо включить только Log Opens. Можно отключить фиксацию операций чтения ( выключить Log Reads) и следить только за тем, что в него записывается (включить Log Writes). Пусть вас не смущает, если одни и те же строки будут попадать в отчет при абсолютно разных позициях переключателей. Например, и для того, чтобы прочесть что-нибудь из файла и для того, чтобы в него записать что-нибудь, все равно ведь надо файл этот открыть, ну а после и закрыть. Вот и получаются такие накладочки, но фильтры эти тем не менее очень нужные. Можно применить новый фильтр даже не закрывая диалоговое окно, просто нажав на кнопку Apply. А чтобы сбросить все фильтры в значение по умолчанию, предусмотрена кнопка Defaults в диалоговом окне фильтра.

Если Вы все усвоили, можно приступать к исследованиям. Напоследок одно из возможных применений FileMon-a: настроив фильтры на слежку за какой-либо конкретной программой, не желающей запускаться и выбрасывающей что-то вроде "File not found!/Файл не найден!", можно, обратив внимание на то, что именно она пытается открыть и при этом не находит, определить недостающие или неверно расположенные файлы. Ну и, конечно, не забудьте, попробовать применить FileMon в более полезных исследованиях.

Copyright © 2002-2004 SNC