系统小技巧：跟踪监视系统或文件的细微变革

我们知道，病毒防护软件不是万能的，它们每每或多或少地带有一定的滞后性，杀毒软件对有的病毒可能无法做到实时预防。
这样，自己动手监视系统或文件夹中文件的变革情形，也不失落为一个预防的好方法。
自己动手监视软件对系统或文件的修正，其思路是在系统稳定的情形下保存系统配置的快照，然后将其与当前系统的快照进行比较，从而查看软件对系统所做的修正。

1. 用微软工具监视系统变革

我们首先可以利用微软发布的运用程序Windows System State Monitor，来监视系统的变革情形。
该程序可以监视的系统区域包括文件系统、注册表、做事和驱动程序等。
安装时，根据不同的系统架构选择32位或64位版的运用程序，实行自定义安装，可看到包含Windows System State Analyzer和Windows System State Monitor两个选项，需都选上。
安装结束后，在桌面上会天生4个图标。

如果要监视Windows系统的状态，用Windows System State Monitor模块。
运行之后显示当前打算机名称、用户名称、操作系统类型和当前日期。
不才方的列表中，可选择文件系统（File system）、注册表（Registry）、做事（Services）、驱动程序（Drivers）等项目，选好之后点击Start monitoring按钮开始系统监视。

监视操作开始后，将该软件窗口最小化，然后实行自己须要的任务；任务实行完毕后，按下Stop Monitoring按钮停滞监视。
末了，按下Create Report按钮，指定报告天生的位置，就会自动天生含有各种注册表分支增编削情形的log文件、一份DriversAndServices.html报告文件和一份TestResult.html报告文件。
个中DriversAndServices.html报告文件记录驱动和做事的变革情形，TestResult.html报告文件记录文件系统的详细变革情形。
这些报告文件存放在一个以当前日期和韶光命名的文件夹中。

小提示：

上述监视会跟踪记录系统的每一处变动。
如果只须要对系统特定项目的变动加以监视，关注个中单个任务的变革情形即可。

如果须要比较两个不同时点的系统快照，运行Windows System State Analyzer模块。
启动软件后可看到两个选项卡，个中Snapshot为快照拍摄，分旁边两栏，按下Start按钮可分别拍摄两个不同时点的快照。

在默认的比较项目中，包含所有驱动器、注册表分支、做事、驱动等选项，天生一份这样的完全快照须要很永劫光。
因此，除非要比较全体系统项目情形的变革，否则不要急于按下Start按钮天生快照。
可先实行“Tools→Options”命令，进入选项设置窗口，通过Add或Remove按钮，定制比较所须要包含的项目信息。
然后返回到软件主窗口，通过Snapshot name下拉列表按情形种别指定快照的名称，末了再天生快照。

不同时点的两份快照天生完毕后，点击Quick comparison选项卡，查看两个快照的不同之处。

小提示：

虽然天生完全的系统快照须要很永劫光，但为了监视系统的变革情形，有必要在系统比较稳定时天生一份完全的快照，保存为BIN文件，以便在须要时进行加载并和当前天生的BIN快照文件加以比较。

2. 用第三方工具监视系统变革

除了用上述微软工具来监视系统的变革外，我们还可以选择第三方工具完成对系统或文件夹情形变革的监视。

如果希望能更随意马虎地监视系统各区域的变革情形，可利用WinPatrol软件，它可以让我们有目标地着眼于系统启动程序、延迟启动、操持任务、做事、活动任务、Cookies、文件类型、隐蔽文件、最近访问内容、系统注册表等方面的变革。

若要监视某个文件夹中文件的变革情形，可利用FolderChangesView软件。
该软件可选择监控包括子文件夹在内的文件变革情形，可进行文件打消设置，可设置要监控的文件大小范围，可按通配符以命令行的办法过滤要监控的文件，还可以设置当文件发生变革时以声音提醒等。
此外，还可以指定每隔一定韶光就将文件的变革输出到一个报告文件当中，报告文件有多种格式可选。