Как отследить изменения, сделанные `Add-AppxPackage`?

332
MSX

Есть ли способ отследить изменения, сделанные при запуске Add-AppxPackage? Под изменениями я имею в виду все, что касается изменений файловой системы (создание, изменение, удаление ... файлов / папок, изменение прав доступа к файлам), изменений в реестре (добавление, удаление, изменение ключей, разрешения, ...).

Я знаю, что могу отслеживать такие изменения отдельно с помощью определенных программ (например, Просмотр папок) или функций аудита Windows, но они обычно отслеживают все события независимо от того, кто их сделал, поэтому трудно изолировать изменения, которые произошли только от них Add-AppxPackage. Чтобы преодолеть проблему изоляции, можно запустить инструменты отслеживания за мгновение до запускаAdd-AppxPackage, но такую ​​«синхронизацию» действительно сложно выполнить и она не гарантирует идеальной изоляции.

Итак, есть ли способ запустить Add-AppxPackageи посмотреть, что именно он делает с файловой системой и реестром Windows?

1
some cmdlets create a verbose output. add the `-verbose` switch to your `Add-AppxPackage` call and see if it has any effects. verbose is one of the `[]` edit: just tested, `Add-AppxPackage` creates verbose output, but not all you want to see I guess. SimonS 7 лет назад 1
I definitely missed the `[]` part. I will check that and see if anything useful to my purpose comes out. Thanks! MSX 7 лет назад 0
хорошо, скажите мне, сработало ли это, и я расширю это до ответа. удачи SimonS 7 лет назад 0
К сожалению, флаг `-verbose` не добавляет ничего действительно полезного, по крайней мере, для моей цели. Кроме того, некоторый текст исчезает после завершения процесса. Но никаких следов разрешений или ключей реестра. Спасибо, в любом случае. MSX 7 лет назад 0

1 ответ на вопрос

1
DavidPostill

Есть ли способ запустить Add-AppxPackageи посмотреть, что именно он делает?

Вы можете использовать ProcessMonitor от Microsoft SysInternals :

Process Monitor - это расширенный инструмент мониторинга для Windows, который в режиме реального времени показывает файловую систему, реестр и активность процессов / потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая расширенную и неразрушающую фильтрацию, всесторонние свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессах, полные потоки стека с интегрированной поддержкой символов для каждой операции одновременное ведение журнала в файл и многое другое.

Его уникально мощные функции сделают Process Monitor основной утилитой для устранения неполадок в вашей системе и поиска вредоносных программ.

Обзор возможностей монитора процесса

Process Monitor включает в себя мощные возможности мониторинга и фильтрации, в том числе:

  • Больше данных, собранных для операций ввода и вывода параметров
  • Неразрушающие фильтры позволяют устанавливать фильтры без потери данных.
  • Получение стеков потоков для каждой операции позволяет во многих случаях определить основную причину операции
  • Надежный захват деталей процесса, включая путь к изображению, командную строку, идентификатор пользователя и сеанса
  • Настраиваемые и перемещаемые столбцы для любого свойства события
  • Фильтры могут быть установлены для любого поля данных, включая поля, не настроенные как столбцы
  • Расширенная архитектура ведения журналов масштабируется до десятков миллионов захваченных событий и гигабайт данных журнала.
  • Инструмент дерева процессов показывает взаимосвязь всех процессов, на которые есть ссылки в трассировке
  • Собственный формат журнала сохраняет все данные для загрузки в другом экземпляре Process Monitor.
  • Подсказка процесса для удобного просмотра информации об изображении процесса
  • Всплывающая подсказка предоставляет удобный доступ к отформатированным данным, которые не помещаются в столбце
  • Отменяемый поиск
  • Регистрация времени загрузки всех операций

отказ

Я никак не связан с SysInternals, я всего лишь конечный пользователь их программного обеспечения.

Действительно полезный инструмент! Я в настоящее время исследую проблему с этим. Надеюсь, это решит мою проблему, хотя я не вижу возможности отслеживать изменения разрешений (я могу ошибаться), что, по моему мнению, вызывает проблему, которую я пытаюсь решить. MSX 7 лет назад 1

Похожие вопросы