Сведения о вопросе

Fhohir

18:18, 8th August, 2020

Мониторинг обращений к жёсткому диску

Просмотров: 399   Ответов: 3

В компьютере установлены SSD и RAID массив из двух жёстких дисков, Windows 7 Professional x64 — на SSD. При запуске калькулятора происходит задержка в 10 секунд, в это время слышно, как раскручиваются жёсткие диски. Но в массиве находятся только игры, бэкапы, дистрибутивы программ и виртуальные машины, ничего системного. Файл подкачки тоже на SSD.
D:\>dir /B
Backup
Games
Temp
Virtual Machines
VS_EXPBSLN_x64_enu.CAB
VS_EXPBSLN_x64_enu.MSI

D:\>dir /A:H /B
$RECYCLE.BIN
System Volume Information

Какой программой можно отследить, к чему обращается система при запуске калькулятора?

UPD: запустил Process Monitor (FileMon теперь его часть), поставил таймер остановки дисков 1 минуту. Как выяснилось, calc.exe обращается не к RAID-у, а к двум другим дискам. Кто-нибудь может объяснить это?
Лог



  Сведения об ответе

P_S_S

08:15, 19th August, 2020

Кто то (антивирус?) открывал музыку в контексте процесса калькулятора — винда это запомнила и теперь каждый раз префетчит эту музыку перед запуском калькулятора.

del %SystemRoot%\Prefetch\calc.exe*.pf

Из элевейченной консоли должно помочь. Если будет повторяться — xperf со стектрейсами при обращении к файлам и смотреть кто попадется.


  Сведения об ответе

JUST___

12:13, 11th August, 2020

Программа FileMon вроде бы делает мониторинг запуска программ…


  Сведения об ответе

SKY

17:55, 27th August, 2020

Страсти та какие.
Никак в calc.exe содержется код руткита… Этот руткит который собирает инфу о нарушении авторских прав. Он анализирует закачиваемый контент и папку с музыкой. Именно поэтому он и обращаеться к этим дискам.
Это единственный разумный вывод который можно сделать. Ж)


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться