La maggior parte delle applicazione che vengono installate sul desktop leggono le informazioni / dati dal disco. Allo stesso modo, scrivono anche informazioni nello stesso. Questa cosa non può essere subito verificata quando nasce il sospetto che un’applicazione possa scrivere qualcosa sul disco rigido che potrebbe danneggiare il sistema operativo o i dati presenti nel PC. L’unico modo è quello di accedere alle cartelle controllate per impedire ad un’applicazione di scrivere in determinate directory.
Se poi un utente vuole consentire ad un’applicazione di leggere / scrivere sul disco, ma desidera comunque tenere d’occhio l’attività della stessa, può registrare tutte le istanze di lettura / scrittura con Process Monitor.
Registrare le attività di lettura/scrittura del disco di un’applicazione
Scaricare ed eseguire “Process Monitor”. Per registrare l’attività di lettura / scrittura del disco di un’applicazione, è necessario creare dei filtri per essa. Fare clic sulla voce “Filtro” sulla barra dei menu e seleziona il filtro.
Bisogna aggiungerne tre. Ci saranno alcuni filtri che verranno aggiunti per impostazione predefinita. Quindi, evitare di disabilitarli. Il primo filtro che bisogna aggiungere è la tipologia “Operazione”. Selezionarlo nel primo menu a discesa. Lasciare il secondo impostato su “Is” e, nel terzo menu a discesa, selezionare “ReadFile”. Cliccare “Aggiungi”. Quindi, aggiungere il secondo filtro. Seguire le stesse impostazioni di prima, ma selezionare invece l’opzione “WriteFile” nel terzo menu a discesa.
Per il terzo e ultimo filtro, aprire il primo menu a discesa e selezionare “Nome processo”. Lasciare il secondo impostato su “Is” e, nel terzo menu a discesa, inserire il nome EXE dell’applicazione. Cliccare “Aggiungi”. Dopo aver aggiunto tutti i filtri, fare clic sul pulsante “Applica”. Assicurarsi che la modalità “Cattura” sia abilitata. E’ possibile attivarlo / disattivarlo facendo clic sull’icona della lente di ingrandimento.
Dopo aver impostato i filtri e gli eventi riguardanti le azioni di lettura e scrittura iniziano a comparire, è possibile registrarli. Per creare un registro, andare su File> File di backup. Selezionare dove si vuole salvare il registro e sarà possibile aprirlo e visualizzarlo nel Blocco note.
Il registro sarà un’istantanea degli eventi che “Process Monitor” ha acquisito fino a quel momento. Tutti i nuovi eventi che si verificano e passano attraverso il filtro non verranno automaticamente aggiunti al registro. Ogni volta sarà necessario creare un nuovo file di registro.
Process Monitor indica l’ora esatta in cui si è verificato un evento e può persino indirizzare l’utente al file esatto che è stato scritto o modificato come risultato dell’evento. Inoltre, è possibile monitorare l’attività di lettura / scrittura di diverse applicazioni aggiungendo un filtro per ognuna.