Cómo registrar la actividad de lectura / escritura del disco para una aplicación en Windows 10

La mayoría de las aplicaciones que instale en su escritorio leerán información / datos de su disco. Asimismo, también le escribirán información. Sin embargo, no es algo que pueda evitarse si sospecha que una aplicación podría escribir algo en su disco que podría dañar su sistema o sus datos, puede usar el acceso a Carpetas controladas para restringir que una aplicación escriba en ciertos directorios . Si desea permitir que una aplicación lea / escriba en su disco, pero aún desea vigilar su actividad, puede registrar todas las instancias de lectura / escritura con Process Monitor .

Registrar la actividad de lectura / escritura del disco para una aplicación

Descargue y ejecute Process Monitor. Para registrar la actividad de lectura / escritura del disco para una aplicación, debe crear filtros para ella. Haga clic en el elemento Filtro en la barra de menú y seleccione Filtro.

Necesita agregar tres filtros. Se agregarán algunos filtros de forma predeterminada. No los desactive. El primer filtro que debe agregar es el tipo 'Operación'. Selecciónelo en el primer menú desplegable. Deje el segundo configurado en 'Es', y en el tercer menú desplegable, seleccione 'ReadFile'. Haga clic en Agregar.

A continuación, agregue el segundo filtro. Siga la misma configuración que antes, pero seleccione la opción 'WriteFile' en el tercer menú desplegable.

Para el tercer y último filtro, abra el primer menú desplegable y seleccione 'Nombre del proceso'. Deje el segundo configurado en 'Es' y, en el tercer menú desplegable, ingrese el nombre del EXE de la aplicación. Haga clic en Agregar. Una vez que haya agregado todos los filtros, haga clic en el botón Aplicar.

Asegúrese de que el modo 'Capturar' esté habilitado. Puede activarlo o desactivarlo haciendo clic en el icono de la lupa.

Una vez que haya configurado los filtros y los eventos comiencen a aparecer para las acciones de lectura y escritura, puede registrarlos. Para crear un registro, vaya a Archivo> Archivos de respaldo. Seleccione dónde desea guardar el registro y podrá abrirlo y verlo en el Bloc de notas.

El registro será una instantánea de los eventos que Process Monitor ha capturado hasta ese momento. Todos los eventos nuevos que ocurren y pasan por el filtro no se agregarán automáticamente al registro. Deberá crear un nuevo archivo de registro cada vez.

Process Monitor le dice la hora exacta en que ocurrió un evento e incluso puede indicarle el archivo exacto que se escribió o cambió como resultado del evento. Puede monitorear la actividad de lectura / escritura para varias aplicaciones agregando un filtro para cada una.