Existe uma maneira de rastrear alterações feitas executando Add-AppxPackage? Por alterações quero dizer qualquer coisa, desde alterações no sistema de arquivos (criar, modificar, excluir ... arquivos/pastas, alterar permissões de arquivos), alterações no registro (adicionar, remover, modificar chaves, permissões, ...).
Eu sei que posso monitorar essas alterações separadamente por meio de programas específicos (por exemplo, Folder Changes View) ou recursos de auditoria do Windows, mas eles geralmente rastreiam todos os eventos independentemente de quem os fez, por isso é difícil isolar alterações que vieram apenas de Add-AppxPackage. Para superar o problema de isolamento, pode-se executar as ferramentas de rastreamento “um momento” antes de executar Add-AppxPackage, mas tal “sincronização” é realmente difícil de realizar e não garante o isolamento perfeito.
Então, existe uma maneira de executar Add-AppxPackagee ver o que exatamente isso faz no sistema de arquivos e no registro do Windows?
Responder1
existe uma maneira de executar Add-AppxPackagee ver o que exatamente ele faz?
Você pode usarMonitor de Processoda MicrosoftSysInternals:
Process Monitor é uma ferramenta avançada de monitoramento para Windows que mostra o sistema de arquivos, registro e atividade de processo/thread em tempo real. Ele combina os recursos de dois utilitários legados da Sysinternals, Filemon e Regmon, e adiciona uma extensa lista de melhorias, incluindo filtragem rica e não destrutiva, propriedades de eventos abrangentes, como IDs de sessão e nomes de usuário, informações confiáveis de processo, pilhas completas de threads com suporte a símbolos integrados. para cada operação, registro simultâneo em um arquivo e muito mais.
Seus recursos exclusivos e poderosos farão do Process Monitor um utilitário essencial no kit de ferramentas de solução de problemas do sistema e de caça a malware.
Visão geral dos recursos do monitor de processo
O Process Monitor inclui recursos poderosos de monitoramento e filtragem, incluindo:
- Mais dados capturados para parâmetros de entrada e saída de operação
- Filtros não destrutivos permitem definir filtros sem perder dados
- A captura de pilhas de threads para cada operação torna possível, em muitos casos, identificar a causa raiz de uma operação
- Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando, usuário e ID de sessão
- Colunas configuráveis e móveis para qualquer propriedade de evento
- Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
- A arquitetura de registro avançada pode ser dimensionada para dezenas de milhões de eventos capturados e gigabytes de dados de registro
- A ferramenta de árvore de processos mostra o relacionamento de todos os processos referenciados em um rastreamento
- O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
- Dica de processo para facilitar a visualização das informações da imagem do processo
- A dica de ferramenta detalhada permite acesso conveniente a dados formatados que não cabem na coluna
- Pesquisa cancelável
- Registro do tempo de inicialização de todas as operações
Isenção de responsabilidade
Eu não sou afiliado aSysInternalsde qualquer forma, sou apenas um usuário final do software deles.