不知道你是否注意到，有時(shí)我們并不在操作電腦，也沒(méi)下載東西，硬盤LED指示燈卻一閃一閃的，看起來(lái)像在讀寫著什么，甚至還能聽(tīng)到硬盤吱吱嚓嚓的聲音，一副很忙碌的樣子。一般情況下這是殺毒軟件防火墻之類的安全軟件在掃描硬盤檢查病毒，或者是Google Desktop桌面搜索等軟件在建立文件索引，但是也可能是黑客在遠(yuǎn)程搜索你的本地文件。遺憾的是windows任務(wù)管理器等系統(tǒng)工具無(wú)法監(jiān)視到這一切，讓人心里很不踏實(shí)。

FileMon：強(qiáng)大的硬盤讀寫監(jiān)視軟件

　　Mark Russinovich和Bryce Cogswell為此開(kāi)發(fā)了FileMon，用來(lái)實(shí)時(shí)監(jiān)控文件系統(tǒng)的情況，F(xiàn)ileMon非常的強(qiáng)大，可以精確的展示每個(gè)打開(kāi)、讀取、寫入硬盤的活動(dòng)，而且免安裝，非常容易上手，幾分鐘就能駕熟就輕，如圖：
　　

　　五個(gè)最好的翻譯軟件下載： http://blog./2009_933.html

　　FileMon忠實(shí)記錄了每個(gè)進(jìn)程每次讀寫硬盤的時(shí)間、請(qǐng)求類型、對(duì)應(yīng)路徑、操作結(jié)果、偏移值（Offset）、長(zhǎng)度（Length）。

FileMon的使用

　　你需要管理員權(quán)限才能使用FileMon，一打開(kāi)就會(huì)監(jiān)視所有磁盤，不過(guò)在我的機(jī)器上跑的時(shí)候字體非常小看不清，需要通過(guò)Options->Fonts設(shè)置一下字體。

　　右鍵點(diǎn)擊一個(gè)進(jìn)程選Process properties即可查看其路徑和啟動(dòng)時(shí)的參數(shù)，其中一個(gè)svchost.exe就是這樣啟動(dòng)的：C:\WINDOWS\System32\svchost.exe -k netsvcs，photoshop則是這樣：
　　

　　缺省狀態(tài)下FileMon不斷輸出文字，刷新非?？煲灾劣陔y以仔細(xì)觀察某一進(jìn)程，我們可以右鍵點(diǎn)擊信任的進(jìn)程選擇Exclude Process把它排除掉，可通過(guò)Ctrl和shift鍵一次選擇多個(gè)，如圖：
　　

　　選擇Exclude Path則忽略監(jiān)視指定文件夾目錄。Volumes菜單里可指定監(jiān)視或不監(jiān)視哪些驅(qū)動(dòng)器。

　　即便如此，F(xiàn)ileMon輸出的信息還是刷新太快了，我們可以通過(guò)Options->Filter/Highlight來(lái)進(jìn)一步指定過(guò)濾器，取消選擇Log Opens和Log Reads不再監(jiān)測(cè)文件打開(kāi)和讀取，只監(jiān)測(cè)存儲(chǔ)，如圖：
　　

　　選中一個(gè)項(xiàng)目后按Ctrl+J鍵可調(diào)用資源管理器打開(kāi)其所在目錄。

　　此外我們還可以方便的在FileMon輸出窗口中搜索特定字符串，保存結(jié)果到LOG文件。FileMon甚至支持監(jiān)視Windows系統(tǒng)的命名管道(named pipes)和mailslot活動(dòng)。

下載File Monitor

　　FileMon官方下載，只有280K

補(bǔ)充說(shuō)明

　　FileMon僅作常規(guī)用途，監(jiān)測(cè)正常軟件和普通病毒木馬的行為，并不能監(jiān)測(cè)使用hook技術(shù)截取Windows API調(diào)用、刻意隱藏自身進(jìn)程的rootkit型頑固病毒木馬，對(duì)付這里惡意軟件需要特別的工具軟件，而且也并不保證100%檢測(cè)出來(lái)。不過(guò)好消息是，這種木馬比較少，只要保護(hù)得好，是可以阻止其潛入硬盤的，如果你對(duì)自己的系統(tǒng)不放心，可以通過(guò)重裝系統(tǒng)或者ghost一鍵還原之類的方法徹底還原，做到硬盤干干凈凈。

　　本文來(lái)自一億度，原文鏈接：http://blog./2008_1041.html或http:///851PMg或http:///99bg6。