有沒有辦法追蹤跑步帶來的改變Add-AppxPackage?我所說的更改是指檔案系統更改(建立、修改、刪除...檔案/資料夾、更改檔案權限)、註冊表更改(新增、刪除、修改金鑰、權限...)。
我知道我可以透過特定程式(例如,資料夾更改視圖)或 Windows 審核功能單獨監視此類更改,但它們通常獨立於建立者追蹤所有事件,因此很難隔離僅來自Add-AppxPackage.為了克服隔離問題,可以在運行前「一會兒」運行追蹤工具Add-AppxPackage,但這種「同步」確實很難執行,並且不能保證完美的隔離。
那麼,有沒有一種方法可以運行Add-AppxPackage並查看它對檔案系統和 Windows 註冊表到底做了什麼?
答案1
有沒有辦法運行Add-AppxPackage一下看看它到底做了什麼?
Process Monitor 是 Windows 的進階監控工具,可顯示即時檔案系統、登錄和進程/執行緒活動。它結合了兩個傳統Sysinternals 實用程式Filemon 和Regmon 的功能,並添加了廣泛的增強功能,包括豐富的非破壞性過濾、會話ID 和用戶名等綜合事件屬性、可靠的進程資訊、具有整合符號支持的完整線程堆疊對於每個操作,同時記錄到文件等等。
其獨特的強大功能將使進程監視器成為系統故障排除和惡意軟體搜尋工具包中的核心實用程式。
製程監控功能概述
Process Monitor 具有強大的監控和過濾功能,包括:
- 擷取更多操作輸入和輸出參數的數據
- 非破壞性過濾器可讓您設定篩選器而不會遺失數據
- 捕獲每個操作的線程堆疊使得在許多情況下可以識別操作的根本原因
- 可靠捕獲進程詳細信息,包括圖像路徑、命令行、用戶和會話 ID
- 任何事件屬性的可配置和可移動列
- 可以為任何資料字段設定過濾器,包括未配置為列的字段
- 先進的日誌記錄架構可擴展到數千萬個捕獲的事件和千兆位元組的日誌數據
- 進程樹工具顯示追蹤中引用的所有進程的關係
- 本機日誌格式保留所有資料以便在不同的 Process Monitor 實例中載入
- 過程工具提示可輕鬆查看流程影像訊息
- 詳細工具提示允許方便地存取不適合列的格式化數據
- 可取消的搜尋
- 所有操作的啟動時間記錄
免責聲明
我不隸屬於系統內部無論如何,我只是他們軟體的最終用戶。