Программы 

Следить за изменениями файлов и папок. Слежение за изменениями в директории: как это делается в разных ОС

В случае, если вы являетесь не единственным пользователем ПК, то после долгого неиспользования машины вам может понадобиться выяснить, какие именно произошли изменения за этот промежуток времени. Также могут быть ситуации, при которых жесткий диск показывает активность, но на самом деле не разобрать, занят он обработкой полезных процессов или это работает вредоносное ПО. Отследить изменения в файлах и получить актуальные данные обо всех изменениях в файловой системе вам поможет программа FolderChangesView.

FolderChangesView – это небольшая по размерам утилита, которая создана специально для отслеживания всех изменений, которые происходят с файлами и папками. Программа отображает в режиме реального времени все изменения, происходящие с файлами, а весь полученный результат показывается пользователю в удобной таблице. Скачать саму программу можно с официального сайта разработчика по ссылке (там же возможно скачать русификатор, который устанавливается простым перемещением в папку с приложением): http://www.nirsoft.net/utils/folder_changes_view.html

Настройка программы

Утилита не требует установки, ведь в архиве находится один лишь файл.exe. Рекомендуется создать отдельную папку для программы, скачать русификатор и закинуть эти два файла в нее. После запуска перед вами будет открываться меню конфигурации (если завершить работу с программой и открыть ее вновь, то меню снова появится перед вами).

Здесь вам необходимо выбрать диск, папки или целый раздел жесткого диска, который необходимо анализировать. При выборе папки оставляйте отмеченным пункт «Сканировать также подкаталоги». Вы также имеете возможность указать папки, мониторить которые нет необходимости: нужно указать путь к папке и поставить галочку напротив «Exclute the following folders».
Ну и в заключение из полезных настроек вы можете установить размер файлов, за которыми необходимо следить. После выбора этих основных настроек просто нажимайте «Ок» и процесс мониторинга за выбранными папками начнется.

Непонятные файлы на диске мы обнаруживаем двумя путями. Либо они явно видны в проводнике или файловом менеджере, либо к ним приводят поиски причины исчезновения свободного места на диске. Хорошо, если после удаления файлов, они больше не появляются. Но так бывает не всегда, и в этом случае приходится определять приложение, которое их создает.

Однажды на форум обратился человек, у которого какое-то приложение записывало в корень системного диска файлы, в имени которых содержится tmp _out .

Конечно, не исключено, что эта система заражена, и требуется тщательная проверка всевозможными антивирусными средствами. Но далеко не всегда проблема связана с вредоносным кодом, и тогда понадобится другой подход. Проще всего вычислить виновника появления таких файлов с помощью утилиты . Из видео за четыре минуты вы узнаете, как это сделать.

Отслеживание активности

При запуске утилита отслеживает несколько типов системной активности:

  • реестр
  • файловую систему
  • процессы и потоки

Поскольку мы ищем причину записи файлов на диск, нужно сосредоточиться на активности в файловой системе. Для этого на панели инструментов оставьте включенной только одну кнопку, отвечающую за активность на диске.

Кроме того, убедитесь, что утилита отслеживает активность. Если у вас перечеркнута кнопка, которая на рисунке обведена красным, нажмите CTRL+E .

На рисунке выше активность отслеживается, причем только в файловой системе.

Основной фильтр

Теперь нужно применить фильтр, чтобы исключить не относящуюся к делу активность. Нажмите сочетание клавиш CTRL+L , и вы увидите возможности фильтрации. В Process Monitor сразу активны некоторые фильтры, исключающие отслеживание деятельности самой программы, а также некоторых системных компонентов (файла подкачки, таблицы MFT и т.д.). Это сделано для того, чтобы исключить мониторинг стандартной активности системы. В большинстве случаев удалять эти фильтры не нужно, и достаточно просто добавить свой.

На рисунке выше показан фильтр, который будет отслеживать создание и изменение всех файлов, в путях к которым содержится tmp _out . Давайте разберем фильтр подробнее слева направо:

  • Path . Путь в файловой системе. Также можно указывать разделы реестра, когда отслеживается активность в нем.
  • contains . Условие, по которому определяется поиск ключевого слова. В переводе с английского это слово означает «содержит». В зависимости от задачи можно конкретизировать условие, выбрав вариант begins with (начинается с) или ends with (заканчивается на).
  • tmp _out . Ключевое слово, которое в данном случае должно содержаться в пути. Имя файла и его расширение являются частью полного пути к файлу.
  • Include . Включение заданного условия в список отслеживаемых.

Не забудьте нажать кнопку Add , чтобы добавить фильтр в список. Впрочем, если вы забудете, Process Monitor напомнит об этом, прежде чем закрыть окно фильтров.

В данном случае я использовал часть имени файла в качестве ключевого слова, поскольку все непонятные файлы содержат в имени tmp_out. Если файлы создаются с разными именами, но зато в определенной папке, используйте путь к этой папке в качестве ключевого слова.

Поскольку задано жесткое условие фильтрации файловой активности, в окне программы, скорее всего, теперь не будет отображаться никаких процессов. Но Process Monitor уже начал их отслеживать.

Проверить работу фильтра очень просто. Достаточно создать в текстовом редакторе файл с искомым именем или в наблюдаемой папке, и Process Monitor моментально отреагирует на это.

Дополнительные фильтры

Обратите внимание, что утилита зафиксировала не только активность блокнота, но также проводника и поиска Windows. Не относящиеся к делу процессы можно исключить из результатов, создав дополнительные фильтры. Достаточно щелкнуть по процессу правой кнопкой мыши и выбрать из контекстного меню пункт Exclude <имя процесса> . Это самый простой способ создания фильтра, но можно сделать это из окна фильтрации, как показано выше. В этом случае условие будет: Process Name – Is — <имя процесса> — Exclude .

Запись и открытие лога

Учтите, что при длительном отслеживании размер лога может измеряться гигабайтами. По умолчанию Process Monitor записывает лог в файл подкачки. Если у вас маленький системный раздел, имеет смысл сохранять лог в файл на другом разделе диска.

Для сохранения лога в файл нажмите сочетание клавиш CTRL+B и укажите имя и желаемое расположение файла.

Изменения вступают в силу после перезапуска захвата активности. Теперь можно смело оставить Process Monitor включенным на длительное время, не опасаясь за лимит дискового пространства.

Остановить отслеживание активности можно сочетанием клавиш CTRL+E .

Впоследствии вы всегда сможете загрузить в утилиту лог из сохраненного файла. Закройте Process Monitor и дважды щелкните файл лога с расширением PML. Содержимое лога отобразится в окне Process Explorer.

Человек, обратившийся на форум с проблемой, так и не вернулся сообщить, помог ли ему мой совет. Но он был с таким вопросом не первый и, наверняка, не последний. Если вопрос возникнет у вас, вы сможете ответить на него с помощью Process Monitor.

О видео

Читатели блога выразили поддержку моей идее дополнять статьи видеоматериалами. Я подумал, что этот случай очень хорошо подходит, и записал ролик длиной менее 4 минут.

Если честно, создание такого видео занимает намного больше времени, чем написание статьи. Поэтому я в любом случае не готов заменять печатный текст видеоматериалами. Но мне кажется, что в данном случае видео интереснее и понятнее. А что вы думаете по этому поводу?

Видео длится около четырех минут, и я старался сделать его быстрым и емким. Ведь в реальности подготовка к поимке приложения занимает буквально одну минуту. Вас устраивает скорость изложения?

Более подробный рассказ о Process Monitor и другие примеры его практического использования вы можете посмотреть в видео моего коллеги Василия Гусева , если у вас есть свободные 40 минут:)

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре - популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 - WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов - fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу - экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Fc c:\1.reg c:\2.reg > c:\log.txt

Где указаны сначала пути к двум файлам реестра, а затем - путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

Небольшая программа, не требующая установки, предназначенная для мониторинга файлов в указанной Вами папке. Она позволяет мониторить как локальную, так и сетевую папку и выводить оповещения как на Рабочем столе, так и через сеть или по E-mail! Также в программе есть возможность быстрого реагирования на изменения путем запуска bat-файлов или определенных приложений.

Так уж повелось, что сегодня каждый, так или иначе, зависит от компьютера. Я не говорю о компьютерной зависимости как заболевании, нет:). Просто каждый пользователь в любом случае хранит на ПК свои личные файлы…

А поскольку за одним компьютером может работать несколько человек, то, естественно, у Вас может возникнуть желание следить за тем, чтобы Ваши данные никто и никуда не дел.

Самым радикальным способом является шифрование Вашей личной папки паролем . Однако это не всегда удобно, например, если Вам нужно иметь к ней доступ по сети…

В таком случае Вы можете прибегнуть к помощи специальных программ для мониторинга изменений файлов в нужных Вам директориях. Они позволяют постоянно следить за выбранными папками и в случае изменения их содержимого уведомлять пользователя о них. Одной из немногих таких бесплатных программ является Простой наблюдатель .

Сравнение с платным аналогом

Простой наблюдатель, несмотря на незамысловатое название, - довольно мощное средство мониторинга файловой системы, которое позволяет вести наблюдение, как за отдельной папкой, так и за всем диском или даже общей сетевой директорией. Сравнить его можно с другой платной отечественной разработкой - Folder Watchdog Service:

Единственным недостатком Простого наблюдателя является отсутствие возможности следить сразу за несколькими папками. Все остальное - только в плюсе:).

Подготовка к работе с программой

Еще одним плюсом приложение является то, что оно не требует установки! Для начала работы с программой Вам потребуется только извлечь ее из архива и поместить в любую удобную папку (хоть и в ту, которая должна мониториться). Все - мы готовы к работе:).

Ах да! Чуть не забыл предупредить, что на Вашем ПК должны быть установлены библиотеки .NET Framework 3.5 (обычно они устанавливаются вместе с системой, но могут и отсутствовать, поэтому на всякий случай вот ссылка на скачивание: https://www.microsoft.com/ru-ru/download/details.aspx?id=21).

После запуска программы мы увидим следующее:

Не пугайтесь:). Никто не требует с нас денег - регистрация полностью бесплатна. А если Вы не хотите раскрывать свое инкогнито, то можете и не регистрироваться вообще! Для этого просто нажмите кнопку «Не регистрировать».

Однако в будущем делать это придется всякий раз, когда Вы запускаете программу, поэтому проще все-таки будет ввести нужные данные в соответствующие поля и нажать «Регистрация».

После этого перед нами появится основное окно программы:

Оно состоит из нескольких функциональных кнопок, ссылки на наблюдаемую папку и статусной строки, в которой отображается информация об активности приложения.

Настройки программы

Перед тем, как начинать наблюдение за папкой, советую ознакомиться с установками Простого наблюдателя. Чтобы попасть к ним, нужно нажать кнопку «Настройки»:

Установки программы собраны на четырех вкладках. И первая из них - «Мониторинг». Здесь собраны настройки, отвечающие собственно за функции слежения. Обратить внимание стоит на такие параметры:

Вторая вкладка - «Оповещение»:

Здесь мы можем настроить тип оповещения нас об изменениях в папке. По умолчанию оповещение появляется над треем и сопровождается стандартным сигналом. Однако Вы можете отключить оповещение вообще, изменить сигнал или же настроить оповещение по локальной сети.

Если Вы решите настраивать сетевые уведомления, то обязательно прочитайте информацию по ссылке «Важные замечания по работе функции».

На вкладке «Действия» собраны все функции, доступные для исполнения программой после обнаружения изменений в наблюдаемой папке:

Здесь мы можем настроить:

  • запуск определенной программы или пакетного сценария;
  • отправку отчета на электронный ящик;
  • отправку измененных файлов на FTP-сервер;
  • копирование измененных файлов в другую папку.

Особенно следует остановиться на пункте работы с E-mail-оповещениями. Если Вы хотите получать отчеты (а также измененные файлы) на свой электронный почтовый ящик, то Вам нужно активировать флажок «Отправка отчетов по e-mail», а затем нажать активировавшуюся кнопку «Настройка»:

В окне настроек нам нужно обязательно указать следующие параметры:

  1. «Сервер SMTP». Если Вы используете сервисы он-лайн почты, то адрес сервера обычно соответствует адресу самого сервиса, предваренного приставкой «smtp.» (например, smtp.mail.ru , smtp.yandex.ru и т.п.). Если такая схема не проходит, то точный адрес смотрите на страничке справки Вашего провайдера.
  2. «Почтовый адрес». Здесь Вы указываете адрес, с которого будет отправлен отчет. Во избежание недоразумений, лучше указывать собственный E-mail.
  3. Флажок «Требуется аутентификация». Если на Вашем почтовом сервере для отправки писем требуется авторизация (обычно на всех он-лайн сервисах), тогда нужно активировать данную опцию и указать логин и пароль от своего ящика.
  4. Поле «Получатели». Сюда через точку с запятой мы вписываем список адресов, на которые будут отправляться отчеты.

Дополнительно можете обратить внимание на опцию «Прикреплять новые файлы». Она позволяет вместе с оповещением отправить Вам на почту файлы, которые были изменены.

Для того, чтобы не перегружать Интернет канал и не расходовать трафик зря (если он платный), Вы можете ограничить размер отправляемых файлов при помощи опции «Не отправлять файлы размером более…». Ниже также есть возможность наоборот задать файлы, которые будут отправляться всегда. Таким файлом может быть, например, лог работы программы.

По окончанию настройки Вы можете проверить ее правильность, нажав кнопку «Тест»:

Если все настроено правильно, то Вы получите письмо с тестовым сообщением.

Последняя вкладка - «Программа»:

Здесь собраны опции, касающиеся общих настроек Простого наблюдателя, такие как, автозапуск при загрузке системы, автоматический запуск мониторинга папки, скрытие приложения в трей и т.д. Здесь же можно проверить обновления и активировать отображение всплывающих сообщений (если их не видно по умолчанию).

Наблюдение за папкой в программе Простой наблюдатель

Теперь, когда у Вас все настроено так, как нужно, можно приступать к непосредственной работе с программой Простой наблюдатель. И первым делом Вам нужно указать папку для наблюдения. По умолчанию выбран весь Диск С:, поэтому для изменения пути нужно нажать кнопку «Папка», и в окне Проводника указать нужную директорию:

Я создал отдельную тестовую папку на Рабочем столе, однако расположение папки роли не играет - программа одинаково хорошо работает со всеми дисками. Стоит, однако, еще раз упомянуть, что через Проводник можно указать только локальную директорию. Для мониторинга удаленной общей папки ее адрес нужно задавать в первом окне настроек!

Итак, у нас все готово - можно запускать слежение. Для этого жмем кнопку «Пуск»:

После ее нажатия активируется кнопка «Стоп», деактивируется кнопка «Папка», а в статусной строке появляется информация о времени наблюдения папки, количестве изменений в ней и времени последнего изменения. Для того, чтобы скрыть окно программы, достаточно свернуть его, и оно минимизируется в трей. Вызвать окно повторно можно одинарным кликом по значку в трее.

Для проверки работоспособности Простого наблюдателя давайте поместим в нашу тестовую папку какой-нибудь файл:

Как видите, программа определила изменения и указала нам, что в папке появился новый файл с определенным именем. Также отчет об этом был выслан на мой e-mail. Еще одна особенность сообщения Простого наблюдателя - если кликнуть по окошку уведомления, то перед Вами откроется Ваша папка, в которой будет выделен изменившийся файл!

Просмотр логов

Как только Простой наблюдатель обнаружит первую активность в наблюдаемой папке, он автоматически создаст файл watch.log . Это текстовый файл, в котором записываются и хранятся отчеты обо всех произошедших событиях.

Данный файл может быть открыт обычным Блокнотом, но удобнее просматривать его встроенными средствами программы. Для этого достаточно нажать кнопку «Лог»:

Здесь мы увидим данные о событии (действие, дата, время, имя файла и папки, которые изменились) и быстро сможем найти нужную запись благодаря системе фильтров. Также здесь есть кнопка, которая позволяет быстро очистить лог-файл, если тот слишком «распух» в размерах:).

Кстати, зная имя и расположение лог-файла, Вы можете настроить Простой наблюдатель таким образом, чтобы он отправлял файл отчета вместе с каждым сообщением на Вашу электронную почту (см. раздел о настройках).

Достоинства и недостатки программы

  • не требуется установка;
  • небольшой размер утилиты;
  • возможность слежения за подпапками;
  • отправка отчетов на электронную почту;
  • отправка уведомлений по локальной сети.
  • работает только с одной папкой;
  • без предварительной настройки потребляет довольно много ресурсов на старых ПК;
  • нет возможности полностью скрыть работу программы «штатными» средствами.

Выводы

На сегодняшний день Простой наблюдатель - это, пожалуй, единственная полностью бесплатная (даже для коммерческого использования) программа в своем роде!

Поэтому, если Вы решили во что бы то ни стало установить слежку за личными данными на ПК в Ваше отсутствие, то другого варианта Вам просто не найти:). Тем более, что в программе, кроме поддержки наблюдения только за одной папкой, практически нет никаких минусов.

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

  • Аудит подключений пользователей к файлам и папкам в сетевых ресурсах
  • Проще и информативнее встроенных средств ОС, не требует дополнительных инструментов для анализа Event Log
  • Мониторинг создания/удаления файлов и папок
  • Ведение журнала действий пользователей
  • Сигнализация на события

10-Strike Connection Monitor - Программа для мониторинга и аудита доступа к папкам (сетевым ресурсам) и файлам компьютера по сети. Она ведёт журнал доступа сетевых пользователей к файлам и папкам, выдает текстовые, SMS, email и звуковые оповещения при подключениях удаленных пользователей к определенной папке или файлу, может запустить приложение или скрипт в качестве реакции на событие. Предусмотрена возможность блокировки подключений и временного отключения сетевого доступа.

Поддерживаются ОС Windows XP/Vista/7/8.1/10; Server 2003/2008/2012/2016/2019.

Программа включена в единый реестр российского ПО минкомсвязи.

Как работает программа мониторинга доступа

При запуске 10-Strike Connection Monitor прячется в трей Windows (рядом с часами) и отслеживает подключения к сетевым ресурсам. Когда кто-либо открывает ваши сетевые папки и файлы, программа выдает оповещение - проигрывает звук, отображает всплывающую подсказку в трее с именем подключившегося пользователя, либо отображает сигнальное окно.

Обнаружив подключение к ресурсам, вы можете нажать комбинацию клавиш Win+C , либо кликнуть по иконке в трее, и просмотреть список подключившихся пользователей и открытых ими файлов.

Вы можете отключить назойливых пользователей или занести их в черный список.

Сведения обо всех подключениях заносятся в специальный журнал, который вы можете просматривать позже пока вас не было за компьютером.

Можно настроить сигнализацию по факту подключения к определенным папкам или при подключении к ресурсам файлового сервера определенного пользователя. При срабатывании сигнализации и выполнении заданного условия можно выдать оповещение или сделать запись в журнале.

Программа предоставляет намного больше возможностей и позволяет организовать аудит доступа к файловым серверам с большим комфортом, чем это позволяют встроенные средства ОС Windows.

Контроль доступа к папкам и файлам в сети

Программа позволяет записывать в журнал (для просмотра в дальнейшем) список всех открытых файлов, логины пользователей, и адреса компьютеров, с которых осуществлялся доступ. Есть возможность занесения пользователей в "черный список" для их отключения при следующих попытках доступа. Можно настроить выдачу сигнализации при подключении определенных пользователей или при подключении с заданных адресов. Сигнализация поддерживает выдачу оповещения на экран, звуковое оповещение, отправка сообщения на e-mail, запуск приложений, запись в лог, отключение пользователя, занесения пользователя в черный список.

При помощи контекстного меню 10-Strike Connection Monitor можно быстро отключить сетевой доступ к папкам общего доступа, либо включить его вновь (при наличии прав администратора на компьютере).

Функции, полезные пользователям локальной сети: Проконтролируйте действия администратора сети! У вас есть возможность выяснить, к каким файлам на вашем компьютере он осуществляет доступ, включая использование административных ресурсов (c$, d$, e$, ...).

В программе предусмотрена "кнопочка" отключения доступа по сети.

Для администраторов сетей: Удостоверьтесь что никто кроме вас не имеет файлового доступа по сети к дискам важных серверов, и другим важным компьютерам. Получайте уведомления по e-mail или запускайте нужные программы при подключении определенных пользователей (или с определенных компьютеров с заданным IP- или MAC-адресом).

Определите наиболее любопытных пользователей сети, узнавайте о фактах выкачивания большого объема файлов или открытия большого количества файлов на серверах с конфиденциальной информацией.

Возможности программы

  • Аудит доступа к сетевым ресурсам компьютера (или файлового сервера) в локальной сети.
  • Мониторинг происходящего в любых локальных папках .
  • Контроль приватности! Узнайте, кто и когда осуществляет доступ к вашим личным данным через скрытые административные ресурсы (c$, d$, e$, ...).
  • Ведение лога (журнала) подключений и открытия файлов по сети .
  • Сигнализация с выдачей на экран, звуком, запуском приложений, оповещением по e-mail, блокировкой и отключением пользователей.
  • Быстрое и удобное ручное отключение/включение доступа к сетевым папкам с общим доступом.
  • Автоматическое отключение назойливых пользователей, скачивающих большие файлы (функция "черного списка").
  • Купите программу сейчас и получите бесплатные обновления и тех. поддержку в течение одного года.

Скачайте бесплатную 30-дневную версию прямо сейчас и попробуйте!