如何得知Windows電腦整體系統狀態(檔案、服務、註冊碼)的改變?
筆者13年前負責產品的安裝測試時常在思考的一個問題,
到底安裝前跟安裝後Windows系統檔案改變了什麼,Registry修改了什麼?
我們要介紹的工具主角就是 Windows System State Analyzer
解決問題的情境
Windows System State Analyzer 可以適用在哪些情境呢?
1. 軟體測試時,我們希望知道該應用程式造成Windows 作業系統做哪些修改或是改變? (檔案、註冊碼、服務)
2. 軟體服務上線時,我們定期掃描系統環境,檢查系統有哪些修改與改變。可以讓我們得知是否有潛在病毒或是未經授權的系統修改。
下載工具 Windows System State Analyzer
- x86版本: http://go.microsoft.com/fwlink/?LinkID=140110
- x64版本: http://go.microsoft.com/fwlink/?LinkID=140109
執行產生 SnapShot
第一次執行時需要產生系統的 snapshot 需要一些時間
Current Snapshot 與比對
有了基準的 snapshot 之後,就可以另外產生 current snapshot 進行比對。
產生結果有兩種格是。一種是直接顯示工具上。另外一種則是產生 HTML 報告。
在檔案的部分,這個工具可以產生更進一步的分析。例如 program files 下? 或是 Temp ?
更進一步像是 unsigned binaries 、missing information 等,這些有助於我們判斷該檔案是否可疑或是病毒。
