有没有办法跟踪运行时所做的更改Add-AppxPackage
?我所说的更改是指文件系统更改(创建、修改、删除...文件/文件夹,更改文件权限),注册表更改(添加、删除、修改密钥、权限...)。
我知道我可以通过特定程序(例如,文件夹更改视图)或 Windows 审核功能单独监视此类更改,但它们通常会独立于谁发起了这些更改而跟踪所有事件,因此很难隔离仅来自 的更改Add-AppxPackage
。为了克服隔离问题,可以在运行 之前“片刻”运行跟踪工具Add-AppxPackage
,但这种“同步”确实很难执行,并且不能保证完美的隔离。
那么,有没有办法运行Add-AppxPackage
并查看它对文件系统和 Windows 注册表到底做了什么?
答案1
有没有办法运行Add-AppxPackage
并查看它到底做了什么?
Process Monitor 是一款适用于 Windows 的高级监控工具,可显示实时文件系统、注册表和进程/线程活动。它结合了两个旧版 Sysinternals 实用程序 Filemon 和 Regmon 的功能,并添加了一系列增强功能,包括丰富且无损的过滤、全面的事件属性(如会话 ID 和用户名)、可靠的进程信息、完整的线程堆栈(每个操作均具有集成的符号支持)、同时记录到文件等。
其独特强大的功能将使 Process Monitor 成为系统故障排除和恶意软件搜索工具包中的核心实用程序。
过程监视器功能概述
Process Monitor 包含强大的监控和过滤功能,其中包括:
- 为操作输入和输出参数捕获更多数据
- 非破坏性过滤器允许您设置过滤器而不会丢失数据
- 捕获每个操作的线程堆栈使得在许多情况下能够识别操作的根本原因
- 可靠地捕获进程详细信息,包括图像路径、命令行、用户和会话 ID
- 可针对任何事件属性配置和移动列
- 可以为任何数据字段设置过滤器,包括未配置为列的字段
- 先进的日志记录架构可扩展到数千万个捕获事件和数 GB 的日志数据
- 进程树工具显示跟踪中引用的所有进程的关系
- 本机日志格式保存所有数据,以便在不同的 Process Monitor 实例中加载
- 流程工具提示,方便查看流程图像信息
- 详细工具提示可以方便地访问不适合列的格式化数据
- 可取消搜索
- 所有操作的启动时间记录
免责声明
我不隶属于系统内部无论如何,我只是他们软件的最终用户。