看清哪些软件进程在悄悄读写你的硬盘

　　Mark Russinovich和Bryce Cogswell为此开发了FileMon，用来实时监控文件系统的情况，FileMon非常的强大，可以精确的展示每个打开、读取、写入硬盘的活动，而且免安装，非常容易上手，几分钟就能驾熟就轻，如图：

　　FileMon忠实记录了每个进程每次读写硬盘的时间、请求类型、对应路径、操作结果、偏移值（Offset）、长度（Length）。
FileMon的使用　　你需要管理员权限才能使用FileMon，一打开就会监视所有磁盘，不过在我的机器上跑的时候字体非常小看不清，需要通过Options->Fonts设置一下字体。

　　右键点击一个进程选Process properties即可查看其路径和启动时的参数，其中一个svchost.exe就是这样启动的：C:\WINDOWS\System32\svchost.exe -k netsvcs，photoshop则是这样：

　　缺省状态下FileMon不断输出文字，刷新非常快以至于难以仔细观察某一进程，我们可以右键点击信任的进程选择Exclude Process把它排除掉，可通过Ctrl和shift键一次选择多个，如图：

　　选择Exclude Path则忽略监视指定文件夹目录。Volumes菜单里可指定监视或不监视哪些驱动器。

　　即便如此，FileMon输出的信息还是刷新太快了，我们可以通过Options->Filter/Highlight来进一步指定过滤器，取消选择Log Opens和Log Reads不再监测文件打开和读取，只监测存储，