⚙️ Как определить приложение, записывающее файлы на диск
В чате поддержки Константин пожаловался, что какое-то приложение копирует на сетевой диск файлы из профиля пользователя. На этот случай у меня есть #классика блога: Видео: Process Monitor - как отследить приложение, записывающее непонятные файлы на диск.
Procmon не подвёл, но обнаружился нюанс. Приложением оказался системный процесс svchost. Опытным взглядом можно было и по путям файловой системы догадаться, что происходит. Но зачем гадать, если можно определить достоверно.
⌛️ Когда-то процессов svchost было лишь несколько, и под каждым хостилось много служб. Но в 2016 году большинству служб выделили отдельные процессы. Комментируя нововведение, я отметил четыре преимущества, в том числе упрощение диагностики.
В логе Process Monitor у каждого процесса есть идентификатор, PID. Всего лишь нужно:
1. Открыть диспетчер задач на вкладке Подробности
2. Найти процесс по ИД
3. ПКМ - Перейти к службам, и связанные с процессом службы будут выделены
✅ Вот так мы и вычислили историю файлов!
Внимательные читатели заметят, что на картинке идентификаторы процессов не совпадают (2836 vs. 11860). Дело в том, что скриншоты этапов диагностики были сделаны в разные дни. Вероятно, в промежутке выполнялась перезагрузка ОС. Диагностируя в один приём, в диспетчере задач искали бы 2836, конечно ✌️
