[XP] как отследить действия программы, какие файлы она считывает и создает

[doxx]

в общем такая задачка интересная..
Есть java программа, которая запускается с помощью эмулятора.
Но это по сути неважно.

Программа после запуска и регистрации в ней, создает где то на диске скрытый файл с некоторыми параметрами..
Где и как она его создает я не знаю.

При повторном запуске этой программы, повторная регистрация невозможна, т.к. прога считывает данные этого файла.

НО! Помогает только создание новой учетной записи в XP - снова можно втор0й раз зарегистрироваться в проге..

Вопрос.
КАК найти этот файл который создает программа?
Как отследить какие файлы она считывает при запуске...

 

[mike345]

А Вы уверены что файл создается, а не запись в реестре в разделе HKCU?

Вообще есть программы Filemon и RegShot. С помощью первой можно отследить доступ к файлам, с помощью второй к реестру.

 

[Disher]

Воспользуйтесь набором утилит от Русиновича (Sysinternals)
Для просмотра ссылки Войди или Зарегистрируйся
Неоднократно пользовался для таких же целей. Можно устанавливать фильтр на процесс и смотреть, к каким файлам обращается, куда пишет (анализируя Api)
А именно:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

 

[Kibermechanic]

FileMon (уже упомянутый) и RegMon в помощь.

 

[Disher]

FileMon (уже упомянутый) и RegMon в помощь.

Эти продукты уже давно объединились в один - Process Monitor

 

[Jensender]

проще всего это сделать программой Sandboxie Для просмотра ссылки Войди или Зарегистрируйся
это программа для запуска программ в песочнице. После регистрации можно будет посмотрерть какие файлы создала программа в спец каталоге, а также останется куст реестра, со всем, что она в него внесла.