當我們安裝軟件，修改瞭系統設置或是被木馬修改文件註冊表等，那麼就會對系統中的文件、註冊表進行內容增加或是刪除等操作，有時為瞭找到修改的位置，我們有必要進行監控系統文件的變化，今天我們要使用的是微軟發佈的一款兼容軟件：Windows System State Monitor，該程序可以監視的系統區域包括文件系統、註冊表、服務和驅動程序等，下面我們就一起來看看吧。

微軟Windows System State Monitor工具監視系統變化

我們首先可以使用微軟發佈的應用程序Windows System State Monitor，來監視系統的變化情況。該程序可以監視的系統區域包括文件系統、註冊表、服務和驅動程序等。安裝時，根據不同的系統架構選擇32位或64位版的應用程序，執行自定義安裝，可看到包含Windows System State Analyzer和Windows System State Monitor兩個選項，需都選上。安裝結束後，在桌面上會生成4個圖標。

如果要監視Windows系統的狀態，用Windows System State Monitor模塊。運行之後顯示當前計算機名稱、用戶名稱、操作系統類型和當前日期。在下方的列表中，可選擇文件系統（File system）、註冊表（Registry）、服務（Services）、驅動程序（Drivers）等項目，選好之後點擊Start monitoring按鈕開始系統監視。

監視操作開始後，將該軟件窗口最小化，然後執行自己需要的任務；任務執行完畢後，按下Stop Monitoring按鈕停止監視。最後，按下Create Report按鈕，指定報告生成的位置，就會自動生成含有各種註冊表分支增刪改情況的log文件、一份DriversAndServices.html報告文件和一份TestResult.html報告文件。其中DriversAndServices.html報告文件記錄驅動和服務的變化情況，TestResult.html報告文件記錄文件系統的詳細變化情況。這些報告文件存放在一個以當前日期和時間命名的文件夾中。

小貼示：

上述監視會跟蹤記錄系統的每一處更改。如果隻需要對系統特定項目的更改加以監視，關註其中單個任務的變化情況即可。

如果需要比較兩個不同時點的系統快照，運行Windows System State Analyzer模塊。啟動軟件後可看到兩個選項卡，其中Snapshot為快照拍攝，分左右兩欄，按下Start按鈕可分別拍攝兩個不同時點的快照。

在默認的比較項目中，包含所有驅動器、註冊表分支、服務、驅動等選項，生成一份這樣的完整快照需要很長時間。因此，除非要比較整個系統項目情況的變化，否則不要急於按下Start按鈕生成快照。可先執行“Tools→Options”命令，進入選項設置窗口，通過Add或Remove按鈕，定制比較所需要包含的項目信息。然後返回到軟件主窗口，通過Snapshot name下拉列表按情況類別指定快照的名稱，最後再生成快照。

不同時點的兩份快照生成完畢後，點擊Quick comparison選項卡，可以查看兩個快照的不同之處，我們可以看到哪些文件增加、減少，還有註冊表、服務、驅動等方面的不同，這樣就可以知道軟件的運行原理，對用戶學習或是找到木馬有很大的幫助。