当软件安装修改了系统设置，或当病毒入侵系统体内时，就会造成一些文件的增删或内容的变化。为了深入了解和掌握系统文件或用户文件的变化情况，我们有必要跟踪和监视系统设置或文件的变化情况。

　　我们知道，病毒防护软件不是万能的，它们往往或多或少带有一定的滞后性，杀毒软件对有的病毒可能无法做到实时预防。这样，自己动手监视系统或文件夹中文件的变化情况，也不失为一个预防的好方法。自己动手监视软件对系统或文件的修改，其思路是在系统稳定的情况下保存系统配置的快照，然后将其与当前系统的快照进行比较，从而查看软件对系统所做的修改。但遗憾的是，即便是最先进的Windows 10，系统自身并未提供这样的快照工具，我们需要另想办法。

1 微软工具监视系统

　　我们首先可以使用微软发布的应用程序Windows System State Monitor，来监视系统的变化情况。该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等。安裝时，根据不同的系统架构选择32位或64位版的应用程序，执行自定义安装，可看到包含Windows System State Analyzer和Windows System State Monitor两个选项，需都选上。安装结束后，在桌面上会生成4个图标（图1）。
　　如果要监视Windows系统的状态，用Windows System State Monitor模块。运行之后显示当前的计算机名称、用户名称、操作系统类型和当前日期。在下方的列表中，可选择文件系统（File system）、注册表（Registry）、服务（Services）、驱动程序（Drivers）等项目，选好之后点击Start monitoring按钮开始系统监视（图2）。监视操作开始后，将该软件窗口最小化，然后执行自己需要的任务；任务执行完毕后，按下Stop Monitoring按钮停止监视。最后，按下Create Report按钮，指定报告生成的位置，就会自动生成含有各种注册表分支增删改情况的log文件、一份DriversAndServices. html报告文件和一份TestResult.html报告文件。其中DriversAndServices.html报告文件记录驱动和服务的变化情况，TestResult.html报告文件记录文件系统的详细变化情况（图3）。这些报告文件存放在一个以当前日期和时间命名的文件夹中。
　　如果需要比较两个不同时点的系统快照，运行Windows System State Analyzer模块。启动软件后可看到两个选项卡，其中Snapshot为快照拍摄，分左右两栏，按下Start按钮可分别拍摄两个不同时点的快照（图4）。
　　在默认的比较项目中，包含所有驱动器、注册表分支、服务、驱动等选项，生成一份这样的完整快照需要很长时间。因此，除非要比较整个系统项目情况的变化，否则不要急于按下Start按钮生成快照。可先执行“Tools→Options”命令，进入选项设置窗口，通过Add或Remove按钮，定制比较所需要包含的项目信息（图5）。然后返回到软件主窗口，通过Snapshot name下拉列表按情况类别指定快照的名称，最后再生成快照。
　　不同时点的两份快照生成完毕后，点击Quick comparison选项卡，查看两个快照的不同之处。

2 第三方工具知晓改变

　　除了用上述微软工具来监视系统的变化外，我们还可以选择第三方工具完成对系统或文件夹情况变化的监视。
　　如果希望能更容易地监视系统各区域的变化情况，可使用WinPatrol软件，它可以让我们有目标地着眼于系统启动程序、延迟启动、计划任务、服务、活动任务、Cookies、文件类型、隐藏文件、最近访问内容、系统注册表等方面的变化。
　　若要监视某个文件夹中文件的变化情况，可使用FolderChanges View软件。该软件可选择监控包括子文件夹在内的文件变化情况，可进行文件排除设置，可设置要监控的文件大小范围，可按通配符以命令行的方式过滤要监控的文件，还可以设置当文件发生变化时以声音提醒等。此外，还可以指定每隔一定时间就将文件的变化输出到一个报告文件中，报告文件有多种格式可选（图6）。