看清哪些软件进程在悄悄读写你的硬盘FileMon:强大的硬盘读写监视软件  Mark Russinovich和Bryce Cogswell为此开发了FileMon,用来实时监控文件系统的情况,FileMon非常的强大,可以精确的展示每个打开、读取、写入硬盘的活动,而且免安装,非常容易上手,几分钟就能驾熟就轻,如图:

  FileMon忠实记录了每个进程每次读写硬盘的时间、请求类型、对应路径、操作结果、偏移值(Offset)、长度(Length)。
FileMon的使用  你需要管理员权限才能使用FileMon,一打开就会监视所有磁盘,不过在我的机器上跑的时候字体非常小看不清,需要通过Options->Fonts设置一下字体。

  右键点击一个进程选Process properties即可查看其路径和启动时的参数,其中一个svchost.exe就是这样启动的:C:\WINDOWS\System32\svchost.exe -k netsvcs,photoshop则是这样:

  

  缺省状态下FileMon不断输出文字,刷新非常快以至于难以仔细观察某一进程,我们可以右键点击信任的进程选择Exclude Process把它排除掉,可通过Ctrl和shift键一次选择多个,如图:

  选择Exclude Path则忽略监视指定文件夹目录。Volumes菜单里可指定监视或不监视哪些驱动器。

  即便如此,FileMon输出的信息还是刷新太快了,我们可以通过Options->Filter/Highlight来进一步指定过滤器,取消选择Log Opens和Log Reads不再监测文件打开和读取,只监测存储,

  选中一个项目后按Ctrl+J键可调用资源管理器打开其所在目录。

  此外我们还可以方便的在FileMon输出窗口中搜索特定字符串,保存结果到LOG文件。FileMon甚至支持监视Windows系统的命名管道(named pipes)和mailslot活动。


下载File Monitor

  FileMon官方下载,只有280K


补充说明

  FileMon仅作常规用途,监测正常软件和普通病毒木马的行为,并不能监测使用hook技术截取Windows API调用、刻意隐藏自身进程的rootkit型顽固病毒木马,对付这里恶意软件需要特别的工具软件,而且也并不保证100%检测出来。不过好消息是,这种木马比较少,只要保护得好,是可以阻止其潜入硬盘的,如果你对自己的系统不放心,可以通过重装系统或者ghost一键还原之类的方法彻底还原,做到硬盘干干净净。

本文来自一亿度,原文链接:http://blog.yiyidu.com/2008_1041.html