Есть ли способ отслеживать изменения, внесенные при запуске Add-AppxPackage
? Под изменениями я подразумеваю все, что угодно: изменения файловой системы (создание, изменение, удаление ... файлов/папок, изменение прав доступа к файлам), изменения реестра (добавление, удаление, изменение ключей, прав доступа, ...).
Я знаю, что могу отслеживать такие изменения отдельно с помощью специальных программ (например, Folder Changes View) или функций аудита Windows, но они обычно отслеживают все события независимо от того, кто их сделал, поэтому сложно изолировать изменения, которые произошли только из Add-AppxPackage
. Чтобы преодолеть проблему изоляции, можно запустить инструменты отслеживания «за мгновение» до запуска Add-AppxPackage
, но такую «синхронизацию» действительно сложно выполнить, и она не гарантирует идеальной изоляции.
Итак, есть ли способ запустить его Add-AppxPackage
и посмотреть, что именно он делает с файловой системой и реестром Windows?
решение1
есть ли способ запустить Add-AppxPackage
и посмотреть, что именно он делает?
Вы можете использоватьProcessMonitorот МайкрософтSysInternals:
Process Monitor — это расширенный инструмент мониторинга для Windows, который показывает файловую систему, реестр и активность процессов/потоков в реальном времени. Он объединяет функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая богатую и неразрушающую фильтрацию, комплексные свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессах, полные стеки потоков с интегрированной поддержкой символов для каждой операции, одновременную регистрацию в файле и многое другое.
Его уникальные мощные функции сделают Process Monitor основной утилитой в вашем наборе инструментов для устранения неполадок системы и поиска вредоносных программ.
Обзор возможностей Process Monitor
Process Monitor включает в себя мощные возможности мониторинга и фильтрации, в том числе:
- Больше данных, собранных для входных и выходных параметров операции
- Неразрушающие фильтры позволяют устанавливать фильтры без потери данных.
- Захват стеков потоков для каждой операции позволяет во многих случаях определить первопричину операции.
- Надежный сбор данных о процессе, включая путь к образу, командную строку, идентификатор пользователя и сеанса
- Настраиваемые и перемещаемые столбцы для любого свойства события
- Фильтры можно устанавливать для любого поля данных, включая поля, не настроенные как столбцы.
- Расширенная архитектура регистрации масштабируется до десятков миллионов зафиксированных событий и гигабайт данных журнала
- Инструмент дерева процессов показывает взаимосвязь всех процессов, упомянутых в трассировке.
- Собственный формат журнала сохраняет все данные для загрузки в другой экземпляр Process Monitor.
- Подсказка процесса для удобного просмотра информации об изображении процесса
- Подробная подсказка обеспечивает удобный доступ к форматированным данным, которые не помещаются в столбце.
- Отменяемый поиск
- Ведение журнала всех операций во время загрузки
Отказ от ответственности
Я не связан сSysInternalsв любом случае, я всего лишь конечный пользователь их программного обеспечения.