微软的文件监视器,可以很直观地监测和显示系统中的文件系统活动,是一个不错的工具
下载地址:http://download.sysinternals.com/Files/Filemon.zip
文章页面:http://www.microsoft.com/china/technet/sysinternals/utilities/Filemon.mspx
简介
注意:在从 Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1 和 Windows Vista 开始的 Windows 版本中,Filemon 和 Regmon 已被 Process Monitor 代替。保留 Filemon 和 Regmon 是为了支持旧版操作系统,这些操作系统包括 Windows 9x。
FileMon 可实时监视和显示系统中的文件系统活动。它的各项高级功能使其成为一个功能强大的工具,用来探索 Windows 的工作方式、查看应用程序对文件和 DLL 的使用方法,或发现系统或应用程序文件配置中的问题。Filemon 时间戳功能将向您精确显示每次打开、读取、写入或删除的时间,其状态列将为您显示最终结果。FileMon 易于使用,几分钟内就可以熟练掌握。它一旦启动就开始进行监视,其输出窗口可以保存到文件中,以便脱机查看。它具有完整的搜索功能,如果您发现信息重载,只要设置一个或几个筛选器就可以解决。
FileMon 可以在 NT 4.0、Windows 2000、Windows XP、Windows XP 和 Windows Server 2003 64 位版本、Windows 2003 Server、Windows 95、Windows 98 和 Windows ME 上运行。
安装和使用
如果有任何问题或疑问,请访问 Sysinternals Filemon 论坛。
只需运行 FileMon (filemon.exe) 即可。必须有管理员权限才能运行 FileMon。第一次启动 FileMon 时,它将监视所有本地硬盘驱动器。可以使用菜单、热键或工具栏按钮来清理窗口、选择和取消选择包括网络卷在内的受监视卷 (Windows NT/2K/XP)、将受监视的数据保存到文件,以及筛选和搜索输出。
如果指定了筛选器,则在每次启动 FileMon 时,它将要求您确认是否使用上次会话中使用的筛选器。若要启动 FileMon 但不显示提示,请在命令行上指定 /q 开关。在 FileMon 启动时,它将自动捕获文件系统活动。若要在启动它时禁用捕获功能,请在命令行上使用 /o 开关。
在将事件打印到输出中时,这些事件都标有序列号。如果 Filemon 内部缓冲区在负载极重的活动期间出现溢出,这会通过序列号的间隔反映出来。
每次退出 FileMon 时,它将记住已配置的筛选器、窗口位置以及输出列的宽度。
筛选
可使用“筛选器”对话框(可通过工具栏按钮或选择“编辑|筛选器/突出显示”菜单来访问)来选择将显示在列表视图中的数据。“*”通配符可与任意字符串匹配,并且筛选器不区分大小写。只显示在包含筛选器中出现但被排除筛选器排除的匹配项。筛选器中的多个字符串用“;”分隔(如“filemon;temp”)。Windows NT/2000 注意事项:由于文件 I/O 具有异步特点,因此不能对结果字段进行筛选。
例如,如果包含筛选器是“c:/temp”,排除筛选器是“c:/temp/subdir”,则会监视对 c:/temp下的文件和目录(c:/temp/subdir 除外)的所有引用。
通配符支持复合模式的匹配,这样就可以匹配特定应用程序进行的特定文件访问,例如:包含筛选器“Winword*Windows”可以让 FileMon 仅显示 Microsoft Word 对包含“Windows”一词的文件和目录进行的访问。
使用突出显示筛选器可指定要在列表视图输出中突出显示的输出内容。通过“编辑|突出显示颜色”选择突出显示的颜色。
其他筛选器选项可选择或取消选择读取、写入或打开操作。在许多故障排除方案中,仅关注打开操作,例如:
选择卷 (Windows NT/2K/XP/2K3)
可使用“卷”菜单来选择或取消选择受监视的卷。选择“网络”菜单项可监视对任何网络资源的访问,包括远程共享和对远程卷的 UNC 路径名称访问。
限制输出
通过工具栏按钮或“编辑|历史记录”菜单项访问的“历史记录深度”对话框允许您指定将在输出窗口中记住的最大行数。0 深度用于表示无限制。
搜索输出
可以使用“查找”菜单项(或“查找”工具栏按钮)在输出窗口中搜索字符串。可以使用 F3 键向前重复搜索,使用 Shift+F3 向回重复搜索。若要从输出中的一个特定行开始进行搜索,请通过单击最左边的列(索引号)选择起始行。如果没有选择行,则新的搜索从第一个条目开始向下搜索,从最后一个条目向上搜索。
选项
FileMon 可以为事件设置时间戳,或显示其持续时间。“选项”菜单和时钟工具栏按钮可让您在两种模式之间进行切换。工具栏上的按钮将显示当前模式以及时钟或秒表。在显示持续时间时,输出中的“时间”字段显示底层文件系统处理特定请求所花费的时间(秒)。“选项|显示毫秒”菜单条目可让您在 FileMon 显示时钟时间时向所显示的时间增加毫秒精度。
可以使用“选项|总在最前面”菜单项将 FileMon 窗口切换为总是显示在最前面。另外,还可以通过“选项|自动滚动”菜单项或相应的工具栏按钮,将 FileMon 切换为不滚动列表视图。
命名管道和邮件槽
从版本 4.1 起,FileMon 可以监视 Windows NT/2K 上命名管道和邮件槽文件系统活动。通常,在 NT/Win2K 中,核心子系统(如本地安全机构子系统 (LSASS))将命名管道用作通信机制,并且 DCOM 也使用命名管道。诸如浏览器服务之类的网络组件也使用命名管道。要使用 FileMon 查看命名管道活动,请选择“驱动器”菜单中的“命名管道”并对共享网络资源执行操作,或打开与安全子系统交互的应用程序,如 Regedt32。
FileMon 的工作原理
对于 Windows 9x 驱动程序,FileMon 的核心是虚拟设备驱动程序 Filevxd.vxd。它将动态加载,并在其初始化时,通过 VxD 服务 IFSMGR_InstallFileSystemApiHook 安装文件系统筛选器,以便将其自身插入到所有文件系统请求的调用链中。在 Windows NT 上,FileMon 的核心是文件系统驱动程序,它可创建筛选器设备对象并将其附加到目标文件系统设备对象中,以便 FileMon 能监视到所有针对驱动器的 IRP 和 FastIO 请求。在 FileMon 监视到打开、创建或关闭调用时,它将更新用作内部文件句柄和文件路径名之间的映射的内部哈希表。不管它何时监视到基于句柄的调用,它都会在哈希表中查找句柄,以获得要显示的完整名称。如果基于句柄的访问引用的是在 FileMon 启动之前就打开的文件,则 FileMon 将在其哈希表中找不到映射,只会显示此句柄的值。
有关访问的信息将转储到一个 ASCII 缓冲区,该缓冲区会定期复制到 GUI,以便在其列表框中打印出来。
扫一扫
6009
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
