วิธีค้นหาไฟล์. exe ที่เปลี่ยนแปลงบนคอมพิวเตอร์

4

ฉันพยายามค้นหาว่า. exe กำลังเปลี่ยนแปลงอะไรบนคอมพิวเตอร์ windows ของฉันก่อนที่ฉันจะดำเนินการเช่นดูการเปลี่ยนแปลงรีจิสทรีที่จะดำเนินการไฟล์ใดบ้างที่จะได้รับการเปลี่ยนแปลงซึ่งไฟล์ใหม่จะถูกเพิ่มเป็นต้น

เป็นไปได้ไหม

windows 
สีดำ
แหล่งที่มา
1
อาจไม่ทั่วไป อ่านเกี่ยวกับปัญหาการหยุดชะงัก
Basile Starynkevitch
1
อืมฉันเข้าใจแล้ว หากเงื่อนไขในโปรแกรมเป็นจริงเฉพาะที่เช่น 01.01.2020 จะไม่สามารถตรวจพบได้ง่าย
Black

คำตอบ:

3

ฉันจะรู้ได้อย่างไรว่าจะมีการเปลี่ยนแปลงอะไรในคอมพิวเตอร์ Windows ก่อนที่จะเรียกใช้โปรแกรม

ฉันต้องการดูการเปลี่ยนแปลงรีจิสตรีซึ่งจะดำเนินการไฟล์ใดกำลังจะถูกเปลี่ยนแปลงไฟล์ใหม่ที่จะถูกเพิ่มเข้ามา ฯลฯ

มันเป็นไปไม่ได้:

  • หากคุณวิเคราะห์โปรแกรม. exe และรู้ว่าระบบการโทรแบบใดมันจะทำให้คุณต้องป้อนข้อมูลที่เป็นไปได้ทั้งหมดเพื่อคาดการณ์ว่าจะเกิดอะไรขึ้นเมื่อทำงาน

  • มีอินพุตที่เป็นไปได้จำนวนอนันต์ (พิจารณาเฉพาะกรณีง่าย ๆ ในการพิมพ์อักขระสุ่มลงในไฟล์ข้อความมีชุดค่าผสมที่เป็นไปได้หลายล้านชุด)

  • ในกรณีเฉพาะของ "ซึ่งจะเพิ่มไฟล์ใหม่" ไม่มีอะไรสามารถรู้ล่วงหน้าชื่อไฟล์ที่คุณจะให้โปรแกรมบันทึกไฟล์

ดีที่สุดที่คุณสามารถทำได้คือการเรียกใช้โปรแกรม (อาจจะอยู่ใน Sandbox) และการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้น

มีความเป็นไปได้หลายอย่างสำหรับการตรวจสอบนี้ มีประโยชน์มากที่สุดน่าจะเป็นกระบวนการตรวจสอบตามที่ให้ข้อมูลมากมายที่สามารถเข้าสู่ระบบ

จากNirsoft :

FolderChangesView เป็นเครื่องมือง่าย ๆ ที่ตรวจสอบโฟลเดอร์หรือดิสก์ไดรฟ์ที่คุณเลือกและแสดงรายการชื่อไฟล์ทั้งหมดที่กำลังถูกแก้ไขสร้างหรือลบในขณะที่กำลังตรวจสอบโฟลเดอร์

คุณสามารถใช้ FolderChangesView กับดิสก์ไดรฟ์ในเครื่องหรือใช้เครือข่ายระยะไกลร่วมกันได้ตราบใดที่คุณได้รับอนุญาตให้อ่านโฟลเดอร์ที่เลือก

ป้อนคำอธิบายรูปภาพที่นี่

ProcessActivityView สร้างบทสรุปของไฟล์และโฟลเดอร์ทั้งหมดที่กระบวนการที่เลือกพยายามเข้าถึง สำหรับแต่ละไฟล์ที่การเข้าถึงกระบวนการข้อมูลต่อไปนี้จะปรากฏขึ้น: จำนวนครั้งที่ไฟล์ถูกเปิดและปิดจำนวนการโทรแบบอ่าน / เขียนจำนวนการอ่าน / เขียนทั้งหมดจำนวนไบต์ dll ที่ทำการโทรแบบเปิดไฟล์ครั้งล่าสุด , และอื่น ๆ...

ป้อนคำอธิบายรูปภาพที่นี่

จากSystemInternals :

การตรวจสอบกระบวนการเป็นเครื่องมือตรวจสอบขั้นสูงสำหรับ Windows ที่แสดงระบบไฟล์เรียลไทม์รีจิสทรีและกิจกรรมกระบวนการ / ด้าย

มันรวมคุณสมบัติของยูทิลิตี้ Sysinternals ดั้งเดิมสองตัวคือ Filemon และ Regmon และเพิ่มรายการการปรับปรุงมากมายรวมถึงการกรองที่สมบูรณ์และไม่ทำลายคุณสมบัติเหตุการณ์ที่ครอบคลุมเช่น ID เซสชันและชื่อผู้ใช้ข้อมูลกระบวนการที่เชื่อถือได้ สำหรับการดำเนินการแต่ละครั้งการบันทึกไฟล์พร้อมกันและอื่น ๆ อีกมากมาย

ป้อนคำอธิบายรูปภาพที่นี่

Process Explorer แสดงข้อมูลเกี่ยวกับกระบวนการจัดการและ DLL ที่เปิดหรือโหลด

จอแสดงผล Process Explorer ประกอบด้วยสองหน้าต่างย่อย หน้าต่างด้านบนจะแสดงรายการกระบวนการที่ใช้งานอยู่ในปัจจุบันรวมถึงชื่อบัญชีที่เป็นเจ้าของในขณะที่ข้อมูลที่แสดงในหน้าต่างด้านล่างจะขึ้นอยู่กับโหมดที่ Process Explorer อยู่ใน: หากอยู่ในโหมดจัดการคุณจะเห็น จัดการว่ากระบวนการที่เลือกในหน้าต่างด้านบนได้เปิดขึ้น หาก Process Explorer อยู่ในโหมด DLL คุณจะเห็นไฟล์ DLL และหน่วยความจำที่แมปซึ่งกระบวนการโหลดขึ้นมา

ป้อนคำอธิบายรูปภาพที่นี่

คำปฏิเสธ

ฉันไม่ได้มีส่วนเกี่ยวข้องกับNirsoftหรือSystemInternalsแต่อย่างใดฉันเป็นเพียงผู้ใช้ซอฟต์แวร์ของพวกเขา

DavidPostill
แหล่งที่มา
การตรวจสอบกระบวนการเป็นสิ่งที่ดีที่สุดและทำงานให้ฉันได้
ib11
1

ฉันพบวิธีที่เป็นไปได้

  1. ติดตั้งเครื่อง Windows เสมือน
  2. ติดตั้ง "การตรวจสอบกระบวนการ" กับมัน
  3. ดำเนินการ exe
  4. ค้นหา PID ของกระบวนการจาก exe
  5. ตัวกรองสำหรับ PID ของกระบวนการนี้ใน "การตรวจสอบกระบวนการ"
  6. ดูการเปลี่ยนแปลงสด

มันไม่ใช่ทางออกที่ดีที่สุด แต่เป็นการเริ่มต้น

สีดำ
แหล่งที่มา
1
ที่ไม่ได้ / จริงๆ / 'ค้นหาสิ่งที่. exe มีการเปลี่ยนแปลงในคอมพิวเตอร์ที่ใช้ windows ของคุณก่อนที่คุณจะรันจริง ๆ ' แม้ว่ามันจะเป็น มันกำลังดำเนินการ exe และค้นหาสิ่งที่มีการเปลี่ยนแปลงหลังจากนั้นคุณเพิ่งจะทำมันในสภาพแวดล้อมที่ใช้แล้วทิ้ง
RyanfaeScotland
ใช่จริงฉันหมายถึงวิธีนี้คุณสามารถค้นหาว่า exe ทำอะไรก่อนดำเนินการในสภาพแวดล้อมจริงของคุณ
สีดำ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.