系統小技巧：跟蹤監視系統或文件的細微變化

當軟體安裝修改了系統設置，或當病毒侵入系統體內時，就會造成文件的增刪或內容的變化。為了深入了解和掌握系統文件或用戶文件的變化情況，我們有必要跟蹤和監視系統設置或文件的變化情況。

我們知道，病毒防護軟體不是萬能的，它們往往或多或少地帶有一定的滯後性，殺毒軟體對有的病毒可能無法做到實時預防。這樣，自己動手監視系統或文件夾中文件的變化情況，也不失為一個預防的好方法。自己動手監視軟體對系統或文件的修改，其思路是在系統穩定的情況下保存系統配置的快照，然後將其與當前系統的快照進行比較，從而查看軟體對系統所做的修改。但遺憾的是，即便是最先進的Windows 10，系統自身並未提供這樣的快照工具，我們需要另想辦法。

1. 用微軟工具監視系統變化

我們首先可以使用微軟發布的應用程序Windows System State Monitor，來監視系統的變化情況。該程序可以監視的系統區域包括文件系統、註冊表、服務和驅動程序等。安裝時，根據不同的系統架構選擇32位或64位版的應用程序，執行自定義安裝，可看到包含Windows System State Analyzer和Windows System State Monitor兩個選項，需都選上。安裝結束後，在桌面上會生成4個圖標。

如果要監視Windows系統的狀態，用Windows System State Monitor模塊。運行之後顯示當前計算機名稱、用戶名稱、操作系統類型和當前日期。在下方的列表中，可選擇文件系統（File system）、註冊表（Registry）、服務（Services）、驅動程序（Drivers）等項目，選好之後點擊Start monitoring按鈕開始系統監視。

監視操作開始後，將該軟體窗口最小化，然後執行自己需要的任務；任務執行完畢後，按下Stop Monitoring按鈕停止監視。最後，按下Create Report按鈕，指定報告生成的位置，就會自動生成含有各種註冊表分支增刪改情況的log文件、一份DriversAndServices.html報告文件和一份TestResult.html報告文件。其中DriversAndServices.html報告文件記錄驅動和服務的變化情況，TestResult.html報告文件記錄文件系統的詳細變化情況。這些報告文件存放在一個以當前日期和時間命名的文件夾中。

小提示：

上述監視會跟蹤記錄系統的每一處更改。如果只需要對系統特定項目的更改加以監視，關注其中單個任務的變化情況即可。

如果需要比較兩個不同時點的系統快照，運行Windows System State Analyzer模塊。啟動軟體後可看到兩個選項卡，其中Snapshot為快照拍攝，分左右兩欄，按下Start按鈕可分別拍攝兩個不同時點的快照。

在默認的比較項目中，包含所有驅動器、註冊表分支、服務、驅動等選項，生成一份這樣的完整快照需要很長時間。因此，除非要比較整個系統項目情況的變化，否則不要急於按下Start按鈕生成快照。可先執行「ToolsOptions」命令，進入選項設置窗口，通過Add或Remove按鈕，定製比較所需要包含的項目信息。然後返回到軟體主窗口，通過Snapshot name下拉列表按情況類別指定快照的名稱，最後再生成快照。

不同時點的兩份快照生成完畢後，點擊Quick comparison選項卡，查看兩個快照的不同之處。

小提示：

雖然生成完整的系統快照需要很長時間，但為了監視系統的變化情況，有必要在系統比較穩定時生成一份完整的快照，保存為BIN文件，以便在需要時進行載入並和當前生成的BIN快照文件加以比較。

2. 用第三方工具監視系統變化

除了用上述微軟工具來監視系統的變化外，我們還可以選擇第三方工具完成對系統或文件夾情況變化的監視。

如果希望能更容易地監視系統各區域的變化情況，可使用WinPatrol軟體，它可以讓我們有目標地著眼於系統啟動程序、延遲啟動、計劃任務、服務、活動任務、Cookies、文件類型、隱藏文件、最近訪問內容、系統註冊表等方面的變化。

若要監視某個文件夾中文件的變化情況，可使用FolderChangesView軟體。該軟體可選擇監控包括子文件夾在內的文件變化情況，可進行文件排除設置，可設置要監控的文件大小範圍，可按通配符以命令行的方式過濾要監控的文件，還可以設置當文件發生變化時以聲音提醒等。此外，還可以指定每隔一定時間就將文件的變化輸出到一個報告文件當中，報告文件有多種格式可選。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！