应用于监测软件活动

Question

我正在对安装在本地机器上的软件进行黑匣子测试。我想分析和查看软件创建/修改/删除的文件和注册表条目的列表。基本上分析软件所处理的文件的软件。有可用的软件来做这个吗？我在使用Windows机器。

Answer 1

我建议您可以使用sysinternals套件中的过程监视器来完成此操作。

Answer 2

我建议使用FIM (文件完整性监视)工具。这将允许您在进行更改之前获取系统的快照，然后在进行更改后再获取另一个快照--然后可以查看快照之间的文件和注册表项发生了哪些更改。

OSSEC是一个开源系统，可以监视文件和注册表对象的更改。它当然不是最容易配置和使用的，但是它是免费的，并且可以在Windows和Linux上工作。

离子X Verisys是一种适用于Windows、Linux和网络设备的商业文件完整性监控系统，它的优点是拥有一个用于配置、报告等的中央GUI，因此它比OSSEC更容易设置和操作。这个可以明确地监视文件和注册表条目。

Answer 3

您可能需要使用文件完整性监视工具来查看软件可能影响的目录。FIM将监测这些位置的文件夹/文件的创建、修改和删除，并提供一份报告。但是，它可能会告诉您已经进行了更改，但没有告诉您具体的更改是什么。

您可以运行两个不同的系统:一个运行软件和运行FIM，另一个没有软件，但使用FIM。这样，您就有了一个控制系统，并且可以对已更改的文件运行差异，以查看软件所做的确切更改.