pe拷贝文件会被监控吗

PE拷贝文件可以被一些安全软件或者系统监控到，因为这个 *** 作可能会被一些恶意软件或者黑客用来执行一些不正当的行为。

例如，一个恶意软件可能会使用PE拷贝文件来窃取用户的敏感信息或者传播病毒。为了保护计算机安全，一些安全软件或者系统会对这个 *** 作进行监控，以便及时发现并处理这些不正当的行为。

当软件安装修改了系统设置，或当病毒侵入系统体内时，就会造成文件的增删或内容的变化。为了深入了解和掌握系统文件或用户文件的变化情况，我们有必要跟踪和监视系统设置或文件的变化情况。

我们知道，病毒防护软件不是万能的，它们往往或多或少地带有一定的滞后性，杀毒软件对有的病毒可能无法做到实时预防。这样，自己动手监视系统或文件夹中文件的变化情况，也不失为一个预防的好方法。自己动手监视软件对系统或文件的修改，其思路是在系统稳定的情况下保存系统配置的快照，然后将其与当前系统的快照进行比较，从而查看软件对系统所做的修改。但遗憾的是，即便是最先进的Windows 10，系统自身并未提供这样的快照工具，我们需要另想办法。

1. 用微软工具监视系统变化

我们首先可以使用微软发布的应用程序Windows System State Monitor，来监视系统的变化情况。该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等。安装时，根据不同的系统架构选择32位或64位版的应用程序，执行自定义安装，可看到包含Windows System State Analyzer和Windows System State Monitor两个选项，需都选上。安装结束后，在桌面上会生成4个图标。

如果要监视Windows系统的状态，用Windows System State Monitor模块。运行之后显示当前计算机名称、用户名称、 *** 作系统类型和当前日期。在下方的列表中，可选择文件系统（File system）、注册表（Registry）、服务（Services）、驱动程序（Drivers）等项目，选好之后点击Start monitoring按钮开始系统监视。

监视 *** 作开始后，将该软件窗口最小化，然后执行自己需要的任务；任务执行完毕后，按下Stop Monitoring按钮停止监视。最后，按下Create Report按钮，指定报告生成的位置，就会自动生成含有各种注册表分支增删改情况的log文件、一份DriversAndServices.html报告文件和一份TestResult.html报告文件。其中DriversAndServices.html报告文件记录驱动和服务的变化情况，TestResult.html报告文件记录文件系统的详细变化情况。这些报告文件存放在一个以当前日期和时间命名的文件夹中。

小提示：

上述监视会跟踪记录系统的每一处更改。如果只需要对系统特定项目的更改加以监视，关注其中单个任务的变化情况即可。

如果需要比较两个不同时点的系统快照，运行Windows System State Analyzer模块。启动软件后可看到两个选项卡，其中Snapshot为快照拍摄，分左右两栏，按下Start按钮可分别拍摄两个不同时点的快照。

在默认的比较项目中，包含所有驱动器、注册表分支、服务、驱动等选项，生成一份这样的完整快照需要很长时间。因此，除非要比较整个系统项目情况的变化，否则不要急于按下Start按钮生成快照。可先执行“Tools→Options”命令，进入选项设置窗口，通过Add或Remove按钮，定制比较所需要包含的项目信息。然后返回到软件主窗口，通过Snapshot name下拉列表按情况类别指定快照的名称，最后再生成快照。

不同时点的两份快照生成完毕后，点击Quick comparison选项卡，查看两个快照的不同之处。

小提示：

虽然生成完整的系统快照需要很长时间，但为了监视系统的变化情况，有必要在系统比较稳定时生成一份完整的快照，保存为BIN文件，以便在需要时进行加载并和当前生成的BIN快照文件加以比较。

2. 用第三方工具监视系统变化

除了用上述微软工具来监视系统的变化外，我们还可以选择第三方工具完成对系统或文件夹情况变化的监视。

如果希望能更容易地监视系统各区域的变化情况，可使用WinPatrol软件，它可以让我们有目标地着眼于系统启动程序、延迟启动、计划任务、服务、活动任务、Cookies、文件类型、隐藏文件、最近访问内容、系统注册表等方面的变化。

若要监视某个文件夹中文件的变化情况，可使用FolderChangesView软件。该软件可选择监控包括子文件夹在内的文件变化情况，可进行文件排除设置，可设置要监控的文件大小范围，可按通配符以命令行的方式过滤要监控的文件，还可以设置当文件发生变化时以声音提醒等。此外，还可以指定每隔一定时间就将文件的变化输出到一个报告文件当中，报告文件有多种格式可选。

在Windows服务器上审计和监控文件的访问情况是一种保护企业敏感数据的有效方式，并且符合行业规定。

PCMag认为“一个简单且强大的Windows系统文件/文件夹审核工具,应该是无需专业IT人员的帮助就能运行审计报告,并且可以发送有关审计事件的警报”,FileAudit是第一个也是唯一一个符合Windows8和WindowsServer 2012要求的文件审计解决方案。

灵活、快速、创新的界面

一个灵活的、快速、创新的界面会使在Windows环境下保护文件变得更加容易。采用简单的无代理部署方式就可以快速安装FileAudit，无需入侵或部署在单个服务器就能保护所有文件服务器。

它拥有直观的Win8风格界面,用户可以很容易的选择需要进行审核的文件和文件夹,并且轻松定制警报设置和进度报告。FileAudit目前已经被全球数以百计的安全组织所采用,是公认最为简单、有效的文件审计保护软件。

实时监控文件访问

FileAudit可提供全面、分类和实时的文件访问信息,大大降低监控问价访问的工作量。它实时的对读/写/删除访问(或访问尝试)、文件所有权变更和修改等文件访问行为进行监控和记录，所以它可以立即解决和处理不恰当的访问行为。

提醒潜在的安全漏洞

FileAudit具有实时警报功能，当文件删除、访问拒绝或监视一个可疑用户等预定义事件发生时,就会自动触发了预先设定的通知电子邮件,并在必要时启用快速反应机制。

邮件通知的对象并没有限制，可以按照企业需要设定接收警报邮件的部门或者是个人，并根据具体的信息标准定制报告。

FileAudit的 *** 作和设置非常简单和直观,甚至非IT高管(和外部审计师)都可以在遵守国家法律的情况下安全和自主的使用FileAudit。

通过这种方式,文件访问监控完全可以委托给非IT部门的同事，由于他们对于自身业务系统内的文件/文件夹有着更好的理解,所以可以基于FileAudit部署和设置简单的特性建立更适自身业务系统的文件访问审计机制，确保工作更加有效的进行。

可定制的文件服务器智能

FileAudit具有可定制的统计图表,可以为用户直观的呈现访问事件的发生情况,并可跨多个Windows服务器工作。

可记录和长期存档发生在一个或多个Windows系统中的文件访问事件,所有的信息都可搜索，确保审计工作的安全进行。

FileAudit使用和配置十分简单，不到三分钟就能完成安装,无需专业人员的部署和实施，只需要选择你想保护和监控的文件/文件夹就能立即启动和运行。

---