不知道你是否注意到，有时我们并不在操作电脑，也没下载东西，硬盘LED指示灯却一闪一闪的，看起来像在读写着什么，甚至还能听到硬盘吱吱嚓嚓的声音，一副很忙碌的样子。一般情况下这是杀毒软件防火墙之类的安全软件在扫描硬盘检查病毒，或者是Google Desktop桌面搜索等软件在建立文件索引，但是也可能是黑客在远程搜索你的本地文件。遗憾的是windows任务管理器等系统工具无法监视到这一切，让人心里很不踏实。

FileMon：强大的硬盘读写监视软件

　　Mark Russinovich和Bryce Cogswell为此开发了FileMon，用来实时监控文件系统的情况，FileMon非常的强大，可以精确的展示每个打开、读取、写入硬盘的活动，而且免安装，非常容易上手，几分钟就能驾熟就轻，如图：
　　

　　五个最好的翻译软件下载： http://blog.yiyidu.com/2009_933.html

　　FileMon忠实记录了每个进程每次读写硬盘的时间、请求类型、对应路径、操作结果、偏移值（Offset）、长度（Length）。

FileMon的使用

　　你需要管理员权限才能使用FileMon，一打开就会监视所有磁盘，不过在我的机器上跑的时候字体非常小看不清，需要通过Options->Fonts设置一下字体。

　　右键点击一个进程选Process properties即可查看其路径和启动时的参数，其中一个svchost.exe就是这样启动的：C:\WINDOWS\System32\svchost.exe -k netsvcs，photoshop则是这样：
　　

　　缺省状态下FileMon不断输出文字，刷新非常快以至于难以仔细观察某一进程，我们可以右键点击信任的进程选择Exclude Process把它排除掉，可通过Ctrl和shift键一次选择多个，如图：
　　

　　选择Exclude Path则忽略监视指定文件夹目录。Volumes菜单里可指定监视或不监视哪些驱动器。

　　即便如此，FileMon输出的信息还是刷新太快了，我们可以通过Options->Filter/Highlight来进一步指定过滤器，取消选择Log Opens和Log Reads不再监测文件打开和读取，只监测存储，如图：
　　

　　选中一个项目后按Ctrl+J键可调用资源管理器打开其所在目录。

　　此外我们还可以方便的在FileMon输出窗口中搜索特定字符串，保存结果到LOG文件。FileMon甚至支持监视Windows系统的命名管道(named pipes)和mailslot活动。

下载File Monitor

　　FileMon官方下载，只有280K

补充说明

　　FileMon仅作常规用途，监测正常软件和普通病毒木马的行为，并不能监测使用hook技术截取Windows API调用、刻意隐藏自身进程的rootkit型顽固病毒木马，对付这里恶意软件需要特别的工具软件，而且也并不保证100%检测出来。不过好消息是，这种木马比较少，只要保护得好，是可以阻止其潜入硬盘的，如果你对自己的系统不放心，可以通过重装系统或者ghost一键还原之类的方法彻底还原，做到硬盘干干净净。

　　本文来自一亿度，原文链接：http://blog.yiyidu.com/2008_1041.html或http://cli.gs/851PMg或http://snipurl.com/99bg6。