当你们安装软件，修改了系统配置或是被木马修改文件注册表等，那么就会对系统中的文件、注册表进行内容增加或是删除等操作，有时为了找到修改的位置，你们有必要进行监控系统文件的变化，今天你们要使用的是微软发布的一款兼容软件：windows system state Monitor，该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等，下面你们就一起来看看吧。

 

微软windows system state Monitor工具监视系统变化

你们首先可以使用微软发布的应用程序windows system state Monitor，来监视系统的变化情况。该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等。安装时，根据不同的系统架构选择32位或64位版的应用程序，执行自定义安装，可看到包含windows system state Analyzer和windows system state Monitor两个选项，需都选上。安装结束后，在桌面上会生成4个图标。

如果要监视windows系统的状态，用windows system state Monitor模块。运行之后显示当前计算机名称、用户名称、操作系统类型和当前日期。在下方的列表中，可选择文件系统（File system）、注册表（Registry）、服务（services）、驱动程序（drivers）等项目，选好之后点击start monitoring按钮开始系统监视。

监视操作开始后，将该软件窗口最小化，然后执行自己需要的任务；任务执行完毕后，按下stop Monitoring按钮停止监视。最后，按下Create Report按钮，指定报告生成的位置，就会自动生成含有各种注册表分支增删改情况的log文件、一份driversAndservices.html报告文件和一份TestResult.html报告文件。其中driversAndservices.html报告文件记录驱动和服务的变化情况，TestResult.html报告文件记录文件系统的全面变化情况。这些报告文件存放在一个以当前日期和时间命名的文件夹中。

小贴示：

以上监视会跟踪记录系统的每一处更改。如果只需要对系统特定项目的更改加以监视，关注其中单个任务的变化情况即可。

如果需要比较两个不同时点的系统快照，运行windows system state Analyzer模块。启动软件后可看到两个选项卡，其中snapshot为快照拍摄，分左右两栏，按下start按钮可分别拍摄两个不同时点的快照。

在默认的比较项目中，包含所有驱动器、注册表分支、服务、驱动等选项，生成一份这样的全能快照需要很长时间。因此，除非要比较整个系统项目情况的变化，否则不要急于按下start按钮生成快照。可先执行“Tools→options”命令，进入选项配置窗口，通过Add或Remove按钮，定制比较所需要包含的项目信息。然后返回到软件主窗口，通过snapshot name下拉列表按情况类别指定快照的名称，最后再生成快照。

不同时点的两份快照生成完毕后，点击Quick comparison选项卡，可以查看两个快照的不同之处，你们可以看到哪些文件增加、减少，还有注册表、服务、驱动等方面的不同，这样就可以了解软件的运行原理，对用户学习或是找到木马有很大的协助。