В последнее время у меня куча вирусов появляется, которые не видит ни один антивирус, поэтому стал параноиком
Краткая cправка по FileMon-у
Если расчитывать на то, что мою небольшую справку по RegMon-у Вы уже прочитали, то кажется, что достаточно написать только о том, чем они между собой отличаются. Так я сразу и собирался сделать, но после передумал. Скажу честно, побоялся вконец запутаться, тем более, что FileMon я знаю меньше. Да и кроме того, если кому-нибудь нужна будет информация только об этой утилите, не придется читать описание обоих. Так что будем писать все по-порядку.
Написанное будет соответствовать 6-ой версии программы. Если Вы еще не обзавелись ею, можете взять прямо здесь. Этот файл не русифицирован, потому как программа обновляется очень часто и за переводами не угонишься, а кроме того количество пунктов меню и диалогов в программе невелико и разобраться с ними будет несложно.
Назначение FileMon-а в отслеживании обращений к файловой системе Вашего компьютера. При этом пользователю FileMon-a можно будет увидеть, какие файлы открывала некая программа (или даже только пыталась это делать), из какого фрагмента файла происходило чтение и каков был размер прочитанных блоков данных. Аналогично и для операций записи в файлы. Но об этом, как и о других возможностях программы, будет написано далее. А пока рассмотрим что именно можно увидеть в окне программы.
Сказки Сутеева — Это что за птица?
Итак, для каждого перехваченной операции обращения к объектам файловой системы в столбцах таблицы последовательно показаны: # — номер текущей записи (в том порядке, в котором были перехвачены обращения к файлам). Пропуски номеров означают, что из-за переполнения буфера FileMon не справляется с потоком. Выход один — фильтровать сообщения.
Time — время перехвата (можно выбрать или текущее время или время в секундах (восемь разрядов после запятой) отсчитываемое от запуска программы или последней очистки окна) Process — иконка программы, имя и 32-битный идетификатор того процесса, из которого происходит вызов функции обращения к файлам. Для случая, когда мы следим за каким-то EXE-файлом, обычно имя его процесса будет отображаться не более чем 8-ю первыми буквами имени этого файла.
В любом случае, что бы не забивать отчет ненужными Вам сведениями, следует отфильтровать все процессы, кроме исследуемого. Об этом несколько подробнее будет дальше. Request — фактически это эквивалент имени функции, которую запросил текущий процесс для проведения некоторых файловых операций. Path — путь к файлу или каталогу, на который воздействовала функция.
Часть пути может быть представлена и некоей файловой маской (например c:*.tmp), что обычно означает, что происходит поиск (перебор) файлов, имена которых соответсвует некоторому шаблону. Result — результат, который возвратила функция. Результат вызова API-функции может содержать не только успешную информацию, но и, например, номер произошедшей ошибки.
FileMon показывает этот номер в виде имени константы, соответствующей этой ошибке. Наиболее частые результаты в FileMon-e: SUCCESS, NOTFOUND, NOMORE, ACCDENIED и, я думаю, они говорят сами за себя. Other — информация о других используемых или возвращаемых функцией данных. Что именно покажет FileMon, сильно зависит от конкретной функции и от решения авторов программы о важности этой информации.
РЕЕСТР WINDOWS, что это и стоит ли ЧИСТИТЬ?
Например, при открытии файла (Open) всегда сообщается о режиме в котором файл будет открыт (например наборчик CREATENEW REPLACEEXISTING WRITEONLY означает приблизительно следующее: «Открыть файл только для записи, если его нет, создать новый, если файл есть, то заменить его содержимое»). Некоторые функции (например Delete) при выполнении ничего в поле Other не помещают.
Теперь Вы знаете, что нам показывает программа в отчете-таблице. Сейчас немного о командах меню и соответствующих им кнопочкам панели инструментов.
File Load — Можно открыть из файла ранее сохраненный отчет и просмотреть его Save — Вы можете сохранить содержимое окна в файл отчета (текст, разделенный табуляторами). Вы можете просматривать отчет, открыв его, например в Excell. На панели инструментов — кнопочка в виде дискетки Save As. — можете выбрать другое расположение и имя для файла отчета Path Properties. — показывает свойства выделенного файла или папки (если использована маска, то команда обламывается:- ) Process Properties. — можно посмотреть на некоторые свойства выделенного в таблице процесса ( негусто там их Capture Events — включает/выключает режим перехвата обращений к файлам. На панели инструментов это кнопка-лупа Exit — дело сделано, уходим Edit Copy — скопировать в буфер только выделенные части таблицы (строки копируются целиком) Delete — удалить из таблицы выделенные записи Далее идут несколько команд для фильтрации, причем по вашему желанию измененные фильтры могут быть применены и к уже отмониторенным операциям
Iclude Process — добавляет выделенный процесс в группу отслеживаемых Exlude Process — добавляет выделенный процесс в группу игнорируемых Include Path — добавляет путь из выделенной строки в список отслеживаемых Exlude Path — добавляет путь из выделенной строки в список игнорируемых Find. — поиск строки, содержащей указанный Вами текст (производится по всем столбцам) . Если есть в списке выделенная строка, то поиск начнется c нее, если нет, то c начала списка. Кнопка в виде бинокля.
Explorer Jump. — быстрый переход в Проводнике к файлу или папке, соответствующими графе Path. Если путь не существует, то переход будет осуществлен по возможности как можно ближе к запрошенному месту. Удобно вызывать также двойным щелчком мыши или нажатием на кнопку в виде значка, стандартного для Проводника. Clear Display — удаляет все записи из таблицы.
Если записей уж очень много, лучше не использовать эту команду, а закрыть программу и открыть ее снова. Этим вы сэкономите уйму времени и иногда предотвратите зависание FileMon-a.
Команде соответствует кнопочка, изображающая ластик, уже почти стерший полсписка (и тут он не слишком быстр: ) Options Font. — выбор шрифта для окна Highlight Colors. — выбор двух цветов FG-цвета текста и BG-цвета фона для подсвечиваемых записей Filter/Highlight. — определение фильтров для отображения и подсветки (подробности позже). Значок — воронка, через которую что-то льется History Depth. — возможность ограничить максимальное число перехватываемых обращений к реестру (0 — без ограничений).
Значок на панели инструментов — усеченный список. Auto Scroll — включить/отключить автопрокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись. Значок — список со стрелочкой, направленной в конец списка. Clock Time — если включено, то для перехваченного события фиксируется текущее время (по системным часам компьютера).
Значок переключается от часов до секундомера соответственно выбранному режиму Show Milliseconds — дополнительно в цифре времени показывать и миллисекунды (только для режима фиксации системного времени) Always On Top — поместить окно программы поверх всех окон Help Help. — вызов очень краткой справки на английском языке About. — скромное напоминание о том, кто это все для нас соорудил. И спасибо им за это!
А теперь ( я еще не надоел Вам?) коротко об некоторых функциях, которые можно увидеть в окне отчета: GetDiskInfo Название говорит само за себя: получение информации о логическом диске. В графе Other я все время вижу Free Space, что означает, по видимому, что процессу была нужна информация о доступном свободном пространстве на этом диске.
Attributes Функция объединяет в себе все операции с атрибутами файла и его датами. Если в поле Other указано GetAttributes, то значит функция только вычитывала атрибуты, а вот если там SetAttributes, то значения атрибутов функцией изменялись.
Если же Вы видите в поле Other одно из этих значений: Get Creation, Get Access или Get Modify, значит функция применялась для определения даты файла (соответственно даты создания, последнего доступа и модификации). Наличие одного из этих значений Set Creation, Set Access или Set Modify в Other однозначно говорит о том, что функция изменяла одну из этих дат.
Не буду повторять их, но зато для новичков в ентом деле сообщу (уж придется поверить мне на слово, что любые измения атрибутов и дат файла никак не затрагивают его самого, а вся эта информация записывается не в файл, а в специально отведенные места на диске. Именно к этим местам и обращается впоследствии операционная система для получения нужной ей информации о файловых атрибутах и датах (в принципе даже возможна и такая ситуация: файла уже нет в помине, а получить информацию о нем не составляет труда).
Directory Группа операций над директориями. Смотрим в последнее поле и если CREATE, значит речь идет о создании нового каталога, если DELETE, то об удалении существующего, если CHECK или QUERY, то спросите у кого-нибудь другого. Open Открывает (иногда перед этим и создает) файл для дальнейших операций над ним. Seek Функция задает текущую позицию в файле для операций чтения и записи.
В поле Other сначала указывается запрашиваемая позиция (если Beginning, то от начала файла, End — от конца), а через дробь новая позиция (всегда относительно начала файла) уже после выполнения функции. Для тех, кто не знаком с азами программирования: все позиции отсчитываются от нуля. Read Понятно, что эта функция читает некоторый непрерывный блок данных из файла.
В последней графе при этом видно с какой позиции началось чтение (Offset) и какова длина блока прочитанных данных (Length). Write Аналогично предыдущей функции, но только уже для записи данных в файл. Close Функция закрывает ранее открытый файл.
Если после этой команды файл все еще остается открытым для какого-нибудь другого процесса, то в графе Other будет информация CLOSE_FOR_PROCESS, в противном случае там будет CLOSE_FINAL. Rename Неужели и это требует пояснений? Новое имя для файла можно будет увидеть в графеOther. Обратите внимание, что файл при этом может быть так же перемещен в другой каталог.
Delete Провожает файл в последний путь (сорри, удаляет FindOpen Эта функция начинает поиск файлов/ каталогов с заданной маской имени в определенной папке. После успешного выполнения этой функции в поле Other помещается имя первого файла/каталога, соответствующего маске. FindNext Используется для продолжения поиска, начатого предыдущей функцией.
Если больше файлов не найдено, результат вызова будет NOMORE. Кстати, надо сказать, что описанные функции поиска позволяют выяснить о найденном файле не только какое у него имя, но и множество иной информации. Например, можно узнать даты создания, модификации и последнего доступа для этого файла, а также его размер и атрибуты.
К сожалению вся эта информация не видна пользователю программы. FindClose Как Вы уже догадались, эта функция завершает ранее начатый цикл поиска файлов/папок. Ioctl Э-э-э. м-м-м. Кто бы мне это самому толком обяснил: «выполняет заданную операцию с устройством».
Other содержит что-то вроде Subfunction: 08h (похоже, конкретный номер операции) Вряд ли Вам захочется видеть сразу всё, что имеет хоть какое-нибудь отношение к файловым операциям. Поэтому нам не обойтись без фильтра монитора. Откроем его диалоговое окно. Первый элемент фильтра это Include, то есть фильтр того, что мы хотели бы включить в отчет.
Важно знать, что фильтрация происходит не по отдельным колонкам, а по строкам таблицы отчета целиком за исключением только номера записи и времени перехвата. Например, внесение в это поле названия функции приведет к перехвату именно этой функции, а ввод имени процесса позволит следить именно только за этим процессом. Допустимо использование символа подстановки * для определения произвольного фрагмента строки (например, фильтр ms*.dll дает возможность следить за любыми упоминаниями DLL файлов с имена, начинающмимся с букв ms /обычно это продукция компании MicroSoft/). Можно вводить любое количество фильтров, разделяя их между собой точками с запятой. Регистр при фильтрации не учитывается.
Второй элемент фильтра это Exclude:, то есть фильтр того, что мы не хотели бы видеть в отчете. Таким способом можно исключить из отчета какие-нибудь программы, очень уж активные в обращениях к файлам и этим сильно захламляющие наш отчет, или отключить некую папку из мониторинга, если нам не неинтересна активность внутри ее и тд. Синтаксис аналогичен фильтру Include.
Третий элемент, Highlight, это вообщем-то и не фильтр вовсе. Он не влияет на то, будет или нет отображаться вызов некоторой функции, а влияет лишь на то, будет ли он подсвечен (не забыли выбрать цвета подсветки?). Подсветка позволяет среди большого количества строк найти то, что Вас сейчас интересует. Синтаксис аналогичен фильтру Include. Этот фильтр можно менять на лету и изменения будут применены для уже отображенных ранее записей.
Удобно, что программа запоминает историю ввода фильтров, и Вы позже сможете вновь воспользоваться ими. Кстати, при перезапуске программа восстанавливает последний набор фильтров. Имейте это ввиду! Кроме строковых фильтров в диалоге есть несколько переключателей, которые могут производить фильтрацию по несколько другим критериям.
Так например можно отслеживать только открытие файлов — надо включить только Log Opens. Можно отключить фиксацию операций чтения ( выключить Log Reads) и следить только за тем, что в него записывается (включить Log Writes). Пусть вас не смущает, если одни и те же строки будут попадать в отчет при абсолютно разных позициях переключателей.
Например, и для того, чтобы прочесть что-нибудь из файла и для того, чтобы в него записать что-нибудь, все равно ведь надо файл этот открыть, ну а после и закрыть. Вот и получаются такие накладочки, но фильтры эти тем не менее очень нужные. Можно применить новый фильтр даже не закрывая диалоговое окно, просто нажав на кнопку Apply. А чтобы сбросить все фильтры в значение по умолчанию, предусмотрена кнопка Defaults в диалоговом окне фильтра.
Если Вы все усвоили, можно приступать к исследованиям. Напоследок одно из возможных применений FileMon-a: настроив фильтры на слежку за какой-либо конкретной программой, не желающей запускаться и выбрасывающей что-то вроде «File not found!/Файл не найден!», можно, обратив внимание на то, что именно она пытается открыть и при этом не находит, определить недостающие или неверно расположенные файлы. Ну и, конечно, не забудьте, попробовать применить FileMon в более полезных исследованиях.
Источник: forum.ru-board.com
Filemon — отслеживание обращений к файловой системе.
Filemon — программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями с файлами, сетью и именованными каналами. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, FileMon , а также программа мониторинга обращений к реестру Regmon были заменены одной программой Process Monitor , которая, все же, утратила некоторые возможности предшественников и менее удобна в использовании. Несмотря на то, что Process Monitor обладает большими возможностями, в среде операционных систем Windows 2000/XP, для мониторинга обращений к файлам и реестру, нередко удобнее использовать Filemon и Regmon .
Данная статья предназначена для пользователей Windows XP/2000, использующих Filemon версий 6.x — 7.x
Авторы — Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)
Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке filemon.chm и текстовый файл с кратким описанием и лицензионным соглашением.
После запуска исполняемого файла filemon.exe , будет выполняться перехват всех операций с файлами и вывод данных в основном окне программы:
Интерфейс программы состоит из 3-х частей — строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Для остановки процесса перехвата обращений к файловой системе нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.
Каждому обращению к файлу соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра содержимого каталога, соответствующего данной записи об операции с файлом. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:
# — номер строки с начала сессии перехвата обращений к файловой системе.
Time — время обращения. Формат можно задать с использованием меню Options — Clock Time и точность — Options — Show Milliseconds
Process — имя и идентификатор процесса (PID), который вызвал обращение к файлу.
Request — тип запроса. Типы запросов отслеживаемые filemon:
CLOSE — закрытие файла.
CREATE — создание файла
DELETE — удаление
DIRECTORY — запрос информации о каталоге
LOCK — монопольный захват ресурса
OPEN — открытие файла
QUERY INFORMATION — запрос информации о ресурсе
READ — операция чтения данных
SET INFORMATION — изменить информацию о ресурсе
UNLOCK — отменить монопольный захват ресурса
WRITE — операция записи данных
Result — результат выполнения запроса:
END OF FILE — обнаружен признак конца файла (EOF)
FILE NOT FOUND — файл не найден
NAME COLLISION — была попытка создать новый файл, но файл с таким именем уже существует.
NO MORE FILES — список содержимого каталога сформирован.
PATH NOT FOUND — не найден путь
RANGE NOT LOCKED — попытка выполнить разблокировку файла, который не был заблокирован.
SUCCESS — операция выполнена успешно.
Other — дополнительная информация :
Attributes — атрибуты файла — А- архивный, D-каталог, H-скрытый, R-только чтение, S-системный.
Exd — значение YES говорит об установке монопольного доступа к ресурсу
File Basic Information — получена(установлена) базовая информация о ресурсе (время модификации, атрибуты и т.п)
File Both Directory Information — запрос дополнительной информации о каталоге. Обычно используется для получения списка файлов.
File Name Information — информация о длине имени файла.
File Rename Information — информация о переименовании файла.
Lenth — длина. Число считанных или записанных данных, размер файла
Offset — смещение, начало области данных, над которыми выполняется операция.
Options — дополнительные параметры для операций над ресурсом.
Основное меню (menu bar) программы Filemon .
Пункты основного меню File
Load — открыть из файла ранее сохраненный отчет и просмотреть его
Save — сохранить содержимое окна в файл отчета .
Save As — выбрать другое расположение и имя для файла отчета
Path Properties — свойства выделенного файла или каталога.
Process Properties — свойства процесса, инициировавшего операцию. (исполняемый файл, путь, параметры командной строки и т.п.)
Capture Events — CTRL+E — включить перехват событий обращений к файловой системе.
Пункты основного меню Edit
Copy — скопировать в буфер обмена выделенные строки.
Delete — удалить выделенные строки.
Include Process — добавить выделенный процесс в группу отслеживаемых
Exclude Process — исключить выделенный процесс из группы отслеживаемых
Include Path — добавляет путь из выделенной строки в список отслеживаемых
Exclude Path — исключить путь из выделенной строки из списка отслеживаемых. Find — поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.
Explorer Jump — быстрый переход в Проводнике к файлу или каталогу, указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.
Clear Display — очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.
Пункты основного меню Options
Font — выбор шрифта для окна
Highlight Colors — выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых.
Filter / Highlight — определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах — ниже по тексту.
History Depth — максимальное число перехватываемых событий. (0 — без ограничений).
Auto Scroll — включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.
Clock Time — переключение формата времени (часы или секундомер)
Show Milliseconds — дополнительно в значении времени показывать миллисекунды.
Always On Top — окно программы всегда поверх всех остальных окон
Пункты основного меню Volumes
Данное меню позволяет выбрать тома для мониторинга. Обычно Filemon используется для отслеживания обращений к локальным (Fixed, CD, Removable) и сетевым дискам (Network). Однако возможно включение режима наблюдения за операциями для именованных каналов и почтовых ящиков. Именованный канал (named pipe)- это средство для передачи данных между процессами, являющимися клиентом или сервером.
Сервером является процесс, создавший именованный канал, а клиентом — процесс, подключающийся к созданному именованному каналу. Именованные каналы, в основном, используются внутри самой ОС для взаимодействия между службами системы (сервисами) или взаимодействия приложений с сервисами. Как, например, управление службами Windows с использованием оснастки панели управления.
В качестве программного интерфейса приложений для посылки и приема сообщений по именованным каналам используются те же самые функции Windows API, что и при работе с файлами (ReadFile, WriteFile). Создаваемый канал так же получает свое имя, указатель файла (handle) и для него возможны операции записи и чтения как для обычного файла в составе файловой системы. Взаимодействующие процессы могут выполняться как на одном компьютере, так и на разных внутри локальной сети..
Почтовые ящики (mail slots) обладают такими же свойствами, как и именованные каналы, но используются для обмена данными между приложениями.
Установка фильтров программы Filemon .
По умолчанию, утилита Filemon настроена на вывод информации об обращениях к файловой системе Windows, выполняемых всеми процессами системы. Естественно, отыскать интересующее событие при таких условиях перехвата, довольно сложно и в программе предусмотрена возможность фильтровать выходные данные по
— процессу
— пути файла/каталога
— типу действия
Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Filemon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L
Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом «точка с запятой». Возможно использование символа * (звездочка) в качестве шаблона (wildcard). Если указать * в поле Include , то в условия перехвата событий будут включены все действия всех процессов. Если в поле Include будет указан фильтр «C:windows», то утилита будет собирать все данные, связанные с операциями ввода/вывода для указанного пути любых процессов системы.
В поле Exclude указываются фильтры для процессов и путей, которые должны быть исключены из выходных данных. Если в поле Include установлен фильтр C:WINDOWS, а в поле Exclude — C:WINDOWSSYSTEM32 то операции ввода/вывода для каталога C:WINDOWSSYSTEM32 будут исключены из выходных данных утилиты Filenmon.
В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.
В окне настройки фильтров имеется возможность установки флажков (checkboxes) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.
Log Opens — выводить данные об операциях, связанных с открытием файлов.
Log Reads — выводить данные об операциях чтения .
Log Writes -выводить данные об операциях записи.
В последних версиях были добавлены
Log Errors — выводить данные об операциях, завершившихся с ошибкой .
Log Successes — выводить данные об операциях, выполненных успешно .
Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Filemon Filters На практике, задание критериев фильтрации выводимых данных гораздо удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке
Include Process и Include Path — добавить в поле Include процесс или путь, отображаемый в текущей строке.
Exclude Process и Exclude Path — исключить из выходных данных Filemon процесс или путь, отображаемый в текущей строке.
Обычно, используется исключение путей и процессов, информация о файловых операциях которых не нужна в выходных данных.
Пример применения утилиты Filemon .
Одно из основных применений Filemon — слежение за операциями с файловой системой процесса, аварийно завершающегося с сообщением о том, что не найден файл или путь. Особенно, если сообщение не содержит имени файла или каталога. Нередко встречаются случаи, когда программа запускается, может даже выдать какую-нибудь заставку и завершается без каких-либо сообщений.
С подобным явлением приходилось сталкиваться при запуске некоторых компьютерных игр. Причиной было отсутствие файлов или каталогов, неверное расположение временных или конфигурационных файлов, использование кириллических символов в именах и т.п. Причин может быть множество, и определять их простым перебором возможных вариантов — дело трудоемкое и неблагодарное. А Filemon позволяет легко определить недостающие, или неверно расположенные, файлы и каталоги.
Второе, не менее важное направление — исследование работы конкретного приложения. Например, нужно определить, в каком месте сохраняются настройки обозревателя Mozilla Firefox.
Запускаете Filemon и определяете условия фильтрации:
Include — firefox
Exclude — оставляете пустым
Поле Highlights тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват файловых операций и вывод данных в основном окне Filemon.
После начала отслеживания, переходите к настройкам обозревателя и изменяете какую-либо из них. После сохранения настроек переключаетесь в окно Filemon , останавливаете процесс перехвата событий и анализируете полученные данные.
Конечно, в случае сложной программы, операций ввода/вывода может быть немалое количество, и придется разбираться исходя из здравого смысла и логики работы приложения. Так, наиболее вероятно, что настройки не хранятся во временных файлах, поэтому их можно сразу исключить из анализа. Следующее предположение — настройки обозревателя связаны с профилем пользователя, следовательно в нем же должны сохраняться. ( каталог C:documents And Settingsпользователь : для Win2k/XP). Сохранение настоек — это операция записи. В результате таких предположений круг поиска будет значительно сужен и файл настроек будет найден без труда.
Не совсем по теме. Найденный таким образом файл с настройками Mozilla Firefox (с именем prefs.js) оказался довольно интересным по содержанию, особенно комментариями в начале файла
# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http:// www.mozilla.org / unix/ customizing.html #prefs
*/
Из перевода становится понятно, что настройки, внесенные вручную в данный файл, при запущенном обозревателе, не будут сохранены, поскольку будут перезаписаны при его завершении. И для ручного изменения настроек следует в адресной строке Mozilla Firefox набрать about:config . За дополнительной информацией предлагается перейти по ссылке на сайт mozilla.org.
А также, понятно, что для сохранения настроек, можно сохранить содержимое файла prefs.js под другим именем. Можно проверить, как поведет себя обозреватель при отсутствии файла настроек или его повреждении.
Filemon для Windows
Filemon — Утилита, которая контролирует и отображает всю деятельность файловой системы на компьютере. Программа имеет расширенную фильтрацию и возможность поиска, которые делают ее мощным инструментом для исследования работы Windows, наблюдения, какие приложения используют файлы и DLL, или контроля проблем в системных или прикладных конфигурациях.
Теперь вы знаете, как «подловить» хитрые программы и проследить за их «подпольной» деятельностью. Эта возможность может быть легко использована со злым умыслом — для снятия защит коммерческих программ.
Но и коммерческие программы иногда совершают «непотребства» — мусорят временными файлами, множеством ключей в реестре, и даже размещают на диске «шпионов», которые собирают информацию о пользователе, а затем высылают ее через Интернет. Наблюдая за работой ваших программ с помощью Filemon или Regmon можно детальнее познакомиться с процессами их работы, узнать много полезных (и бесполезных) подробностей. Специалистам, занимающимся обслуживанием компьютеров, программы «подскажут» и в тех случаях, когда вместо нудной и долгой переустановки программы можно просто удалить ненужный файл или создать новую директорию. Вместе с Regmon образует просто сногсшибательное средство.
ТОП-сегодня раздела «Диагностика, тесты»
AIDA64 Extreme Edition — незаменимое приложение для диагностики ПК с возможностью проведения.
CPU-Z — небольшая полезная программа, с помощью которой вы получите всю информацию об.
FurMark — мощный инструмент, который будет в первую очередь полезен оверклокерам, позволяющий.
CrystalDiskMark — небольшая бесплатная программа, предназначенная для сравнительного анализа.
GPU-Z — отличная утилита для просмотра разнообразной информации о видеокарте и ее.
Core Temp — утилита, которая в режиме реального времени отображает температуру Вашего.
Отзывы о программе Filemon
Wally про Filemon 7.04 [15-04-2014]
Огромное спасибо. Очень помогла найте файл который нагружал Explorer.exe из за чего роцессор загружался на 100%
2 | 2 | Ответить
Cyber cherry про Filemon 7.0 [18-04-2006]
У меня нормально работает, только происходит очень быстрая текучка записей — сложно уследить, что к чему.
3 | 2 | Ответить
aksakal про Filemon [25-04-2005]
Лечение:
1. Запуск из директории администратора
2. Запуск через ярлык на рабочем столе
2 | 2 | Ответить
aksakal про Filemon [25-04-2005]
Программа при загрузке сообщает, что файл filevxd.vxd не загружается «хорошеньким», т.е. работоспособным. Причина запуск из любой пользовательской директории. См. дальше
2 | 4 | Ответить
xxx про Filemon [30-03-2005]
Источник: www.softportal.com