众所周知,病毒和恶意软件会改变或替换系统中的重要文件,有没有办法知道这种改变何时发生?顺便说一下,这是针对 Windows 7 的。
答案1
.NET Framework 有一个 FileSystemWatcher 组件,您可以使用它来监视文件结构的变化,如果您愿意,我假设您可以编写一个 powershell 组件来监视和记录某些文件夹的更改,或者编写一个完整的 Windows 窗体应用程序。
如果您预期发生某些更改(例如文件下载、安装期间的文件更新或类似更改),这可能会很有用。
您是否想确定恶意软件感染后文件何时发生变化?
就我个人而言,我更喜欢预防,并运行有效的防病毒/间谍软件应用程序(我个人推荐的,也是我大力推崇的,是来自Sunbelt 软件(www.sunbeltsoftware.com)。我的台式机、笔记本电脑和上网本上都运行着它。
编辑:如果你想要一个 GUI 应用程序,那么我强烈推荐进程监控器从www.sysinternals.com
答案2
有一种工具可以发现可疑事件的迹象,叫做“RootkitRevealer”在 sysinternals 网站上。
他们还有其他工具可以实时监控文件系统和注册表的变化。Procmon 就是其中之一。SysInternals 网站上还有许多其他有用的实用程序,您可能也会发现它们很有用。