如何监视程序对文件系统的访问

最新推荐文章于 2023-05-07 18:57:47 发布
最新推荐文章于 2023-05-07 18:57:47 发布
阅读量3.6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Piao_Polar/article/details/8718327
版权

     偶尔我们会有这样的需要,想要知道某个程序,对文件系统做了哪些访问。读写了那些文件。

     例如,部分程序不提供配置的导出功能,可是正常情况下,配置都是持久化在硬盘上,保留在本地的。如果我们能监视到,修改配置前后,某程序对磁盘中的那些文件进行了写操作,就能顺藤摸瓜找到他的配置文件,然后通过直接覆盖配置文件进行迁移配置的工作(假定这个程序的配置不做和用户名等挂钩的加密,也不放在注册表之类)

     如果在window下,有FileRiver/Filemon这些工具,都很好用。

     在Mac下稍微难找些,可以用FS_Spy(要钱的,虽然可以试用一段时间),然后也有个Filemon(http://deepit.ru/products/FileMon/dist/FileMon.zip 貌似是免费的,不过图标比较另类,不知道是不是个人作品,和windows下那个同名软件应该不是一个来源)。 前者相对好用些。

     类Unix系统下,比如Mac的终端下,也可以使用fs_usage这个命令来看,比如 sudo fs_usage -f filesys 123 | grep xxx (123是程序的pid, xxx是要过滤出来显示的关键字)


     不过用fs_usage命令的时候,要尤其注意要用ctrl+c(而不是ctrl+z)来结束,否则第二次运行的时候会提示已经有一个实例在运行了,如果遇到这样的情况,先在命令行top找出fs_usage的pid,然后kill(-3)之

     通常如果用工具的话,大体都是类似的,要么是得事前设定好关键字,要么方便点,可以做事后的过滤。一般来说都得弄好过滤条件,不然基本会眼花缭乱看不清。

     以用FileMon查找MacOS里XCode的快捷键保存位置为例:

1. 打开FileMon,会看到刷啦刷啦一堆,在Fiter中输入XCode回车,然后点个New Spy Session。就干净了。

2. 之后在XCode中操作添加一个新的快捷键配置文件。然后在FileMon中可以看到如下的图


 

  就不难猜出路径了。如图选中的行。

3. 剩下的就是增增删删文件,开开关关XCode验证了。

 

P.S. windows下一些其他系统监视软件

1. windows注册表:Regmon

2. 网络:Proxifier

Piao_Polar
关注
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作
12-03
FileMon 是一个出色系统文件监视工具,可以监视应用程序进行的文件读写操作,localizer、hacker 或 cracker 必备。
监控磁盘读写状况
weixin_33845881的博客
01-18 308
您有没有碰到过:没有运行任何程序,磁盘却不断执行读写动作,io指示灯常亮,各种操作迟缓甚至卡顿。碰到这种状况往往会感到束手无策,因为并不是 cpu 居高不下,可以立即结束相关进程。而突然结束进程中断磁盘 io 操作甚至可能导致正在写入的数据丢失。 什么进程在读写磁盘? 可能是 firefox,可能是 updatedb,也可能是正在运行的 pacman -Syu,一切皆有可...
Mac监视程序文件系统访问
arslan-robot
05-07 316
Mac下如果我们想知道某个程序,对文件系统做了哪些访问,读写了那些文件。就需要用到fs_usage命令,有些功能状态Mac中没有提供api接口去获取,但是在系统运行期间会在一些系统文件中写入状态,你通过读取解析这些文件的内容可以获取到一些你需要的状态数据,那么究竟这些内容藏在哪些文件里呢,一条发现的渠道是使用逆向工程来剖析类似功能的应用,别人的是如何实现的,读写了哪些文件。当然读取他需要一些技巧,你要正巧的引导用户授权该路径的读写权限,毕竟默认你只能读写沙盒路径下的内容。实时监视进程对文件系统访问记录。
Windows监听程序访问了哪些资源
youyudexiaowangzi的专栏
12-21 3123
Winternals公司的SysInternals提供了很多方便工具,后来被微软收购,微软提供了该系列的工具 https://docs.microsoft.com/en-us/sysinternals/ 监听进程访问的资源用ProcessMonitor就可以了,但是数据太多了,后来发现ProcessExplorer用起来更方便 勾选Show Low Pane,就会在底部显示一个进程信息的窗格,里面默认是按type排序的,type里面有section、file、reg、event等信息,这里以fil
驱动开发:对象回调监控文件访问
热门推荐
CSDN
10-14 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。实现文件的监控呢,比如当文件访问时自动触发回调,看如下代码实现方式。那么如何实现文件的监控呢,比如当文件访问时自动触发回调,看如下代码实现方式。
java实现windows文件系统操作监控
01-19
java实现的一个监控windows文件夹中的文件的增删改等操作,根据不同的需要修改代码,可以做成不同的功能,如文件检索,文件保护,文件自动加密等程序应用
实现文件实时读取与监控的方法
aapt37457的博客
04-10 788
1、文件实时写入 最近需要为实验室写一个监控文本数据并实时读取绘制曲线的小程序,原软件从串口接收传感器的数据,实时写入txt文本,现在需要写个程序实时读取出来,遇到一个问题:原软件有个文本框实时显示数据,查看源代码发现文本框显示和写入文本是同时完成的,但是文件写入却有延迟,有时候过去很长时间重新打开文本文件,内容都不发生改变。每次文本容量增加512字节内容才发生变化,这样...
文件系统监视程序代码
04-04
在本案例中,我们关注的是一个名为"文件系统监视程序代码"的项目,这通常涉及到使用特定的编程语言,如C#,来编写能够监控文件系统变动的程序。 C# 4.0是.NET Framework的一个版本,它提供了丰富的库和功能,包括...
程序监视文件的存取.rar_文件监视_监视 文件
09-19
在IT领域,程序监视文件的存取是一项重要的技术,它允许开发者或系统管理员跟踪和记录对特定文件文件夹的所有访问、修改、创建和删除等操作。本项目使用VC++编程语言实现,对于初学者来说,这是一个很好的学习资源...
c#使用filesystemwatcher监视文件系统的变化
09-04
在C#编程中,`FileSystemWatcher` 是一个非常实用的类,用于监视文件系统中的更改,如文件或目录的创建、删除、重命名以及内容修改等事件。这个类位于 `System.IO` 命名空间下,使得开发者能够轻松地跟踪指定文件夹...
FMon:简单的应用程序数据流监视器,无需对项目进行任何更改
05-13
周一 简单的应用程序数据流监控器,无需对项目进行任何更改 一个简单的监视框架可以跟踪您的应用程序数据流正确性的一部分并对其进行可视化,以使您的服务器调试比以前容易得多。
简单进程监控程序
qq_42582489的博客
03-05 1018
简单进程监控程序 文章目录简单进程监控程序题目描述解题思路详细编码实现1.判断进程2.检查文件3.处理注释4.函数封装5.整体代码运行脚本参考文章 题目描述 作业题目:写一个 Shell 脚本来进行进程的死活监控 作业描述:此 Shell 脚本能检查配置文件中记录的进程是否在系统中运行。如果在系统中运行则显示进程ID(PID),如果不在运行则显示 DOWN 文字。 配置文件(check_procs.conf): systemd smbd nmbd #logd sshd 脚本命名为check_proc.sh
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8384
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
java实时监控文件,如果文件被修改,每次按行获取文件更新内容
qq_56044050的博客
04-16 1万+
一、概述: 使用java实现对文件的监控功能,当文件发生修改,实时获取更新内容。 1.要求对目标文件实时监控 2.按行读取文件更行内容 3.将获取内容进行落库 二、使用技术: 2.1 commons-io 使用Commons-io的monitor下的相关类可以处理对文件进行监控,它采用的是观察者模式来实现的 (1)可以监控文件夹的创建、删除和修改 (2)可以监控文件的创建、删除和修改 (3)采用的是观察者模式来实现的 (4)采用线程去定时去刷新检测文件的变化情况 2.2 Rand
Windows使用进程监视器查看进程读写的文件
Alexabc3000的专栏
05-22 3392
进程监视器(Process Monitor)是用于Windows的高级监视工具,用于显示实时文件系统、注册表和进程/线程活动。 进程监视器包括强大的监视和筛选功能,包括: 为操作输入和输出参数捕获的更多数据 使用非破坏性筛选器可以设置筛选器而不丢失数据 捕获每个操作的线程堆栈使得在许多情况下能够识别操作的根本原因 可靠捕获进程详细信息,包括映像路径、命令行、用户和会话 ID 任何事件属性的可配置和可移动列 可以为任何数据字段设置筛选器,包括未配置为列的字段 高级日志记录体系结构可扩展到数千万
Mac OS X下的文件监控
艺&技
08-25 421
http://www.osxbook.com/software/fslogger/ fslogger's mode of operation is very simple. The following points are particularly noteworthy: FSLogger * It must be run as root, for example, via ...
08-React redux
最新发布
09-14
redux 相关代码以及 redux 开发者工具
模拟ext2文件系统跟踪程序
11-28
模拟ext2文件系统跟踪程序是一种用于监视和记录ext2文件系统活动的程序。ext2是一种常见的Linux文件系统,它被用于许多基于Linux的操作系统。 该跟踪程序可以通过捕获文件系统操作来收集有关文件系统的有用信息。具体来说,它可能会跟踪以下内容: 1. 文件和目录的创建和删除 程序可以记录每次创建或删除文件或目录的操作,并记录相关信息,如文件或目录的名称、所属目录的路径和时间戳。 2. 文件读取和写入 程序可以监视文件读取和写入操作,并记录相关信息,如读取或写入的字节数、文件的名称和时间戳。 3. 文件和目录的修改 程序可以跟踪文件和目录的修改操作,如更改文件或目录的权限、所有权或其他元数据。 4. 文件夹的导航 程序可以记录用户在文件系统中导航的操作,如进入或离开特定目录。 5. 文件系统的挂载和卸载 如果文件系统被挂载或卸载,程序可以记录相关操作并记录详细信息,如挂载点的路径、设备文件的路径和时间戳。 通过跟踪这些操作,模拟ext2文件系统跟踪程序可以为用户提供有用的信息,如文件和目录的使用情况、对文件访问模式以及文件系统的整体状态。这对于系统管理员、软件开发人员和安全分析师来说都是非常有价值的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值