Как отследить изменения, сделанные `Add-AppxPackage`?

Есть ли способ отследить изменения, сделанные при запуске Add-AppxPackage? Под изменениями я имею в виду все, что касается изменений файловой системы (создание, изменение, удаление... файлов / папок, изменение прав доступа к файлам), изменений в реестре (добавление, удаление, изменение ключей, разрешения, ...).

Я знаю, что могу отслеживать такие изменения отдельно с помощью определенных программ (например, Просмотр папок) или функций аудита Windows, но они обычно отслеживают все события независимо от того, кто их сделал, поэтому трудно изолировать изменения, которые произошли только от Add-AppxPackage, Чтобы преодолеть проблему изоляции, можно запустить инструменты отслеживания за мгновение до запуска Add-AppxPackageНо такую ​​"синхронизацию" действительно сложно выполнить и она не гарантирует идеальной изоляции.

Итак, есть ли способ запустить Add-AppxPackage и посмотреть, что именно он делает с файловой системой и реестром Windows?

1 ответ

есть ли способ бежать Add-AppxPackage и посмотреть, что именно он делает?

Вы можете использовать ProcessMonitor от Microsoft SysInternals:

Process Monitor - это расширенный инструмент мониторинга для Windows, который в режиме реального времени показывает файловую систему, реестр и активность процессов / потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая расширенную и неразрушающую фильтрацию, всесторонние свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессах, полные потоки стека с интегрированной поддержкой символов для каждой операции одновременное ведение журнала в файл и многое другое.

Его уникально мощные функции сделают Process Monitor основной утилитой для устранения неполадок в вашей системе и поиска вредоносных программ.

Обзор возможностей монитора процесса

Process Monitor включает мощные возможности мониторинга и фильтрации, в том числе:

  • Больше данных, собранных для операций ввода и вывода параметров
  • Неразрушающие фильтры позволяют устанавливать фильтры без потери данных.
  • Сбор стеков потоков для каждой операции позволяет во многих случаях определить основную причину операции
  • Надежный захват деталей процесса, включая путь к изображению, командную строку, идентификатор пользователя и сеанса
  • Настраиваемые и перемещаемые столбцы для любого свойства события
  • Фильтры могут быть установлены для любого поля данных, включая поля, не настроенные как столбцы
  • Расширенная архитектура ведения журналов масштабируется до десятков миллионов захваченных событий и гигабайт данных журнала.
  • Инструмент дерева процессов показывает взаимосвязь всех процессов, на которые есть ссылки в трассировке
  • Собственный формат журнала сохраняет все данные для загрузки в другом экземпляре Process Monitor.
  • Подсказка процесса для удобного просмотра информации об изображении процесса
  • Всплывающая подсказка предоставляет удобный доступ к отформатированным данным, которые не помещаются в столбце
  • Отменяемый поиск
  • Регистрация времени загрузки всех операций

отказ

Я никак не связан с SysInternals, я всего лишь конечный пользователь их программного обеспечения.

Другие вопросы по тегам