当软件安装修改了系统设置，或当病毒侵入系统体内时，就会造成文件的增删或内容的变化。为了深入了解和掌握系统文件或用户文件的变化情况，我们有必要跟踪和监视系统设置或文件的变化情况。

我们知道，病毒防护软件不是万能的，它们往往或多或少地带有一定的滞后性，杀毒软件对有的病毒可能无法做到实时预防。这样，自己动手监视系统或文件夹中文件的变化情况，也不失为一个预防的好方法。自己动手监视软件对系统或文件的修改，其思路是在系统稳定的情况下保存系统配置的快照，然后将其与当前系统的快照进行比较，从而查看软件对系统所做的修改。但遗憾的是，即便是最先进的Windows 10，系统自身并未提供这样的快照工具，我们需要另想办法。

1. 用微软工具监视系统变化

我们首先可以使用微软发布的应用程序Windows System State Monitor，来监视系统的变化情况。该程序可以监视的系统区域包括文件系统、注册表、服务和驱动程序等。安装时，根据不同的系统架构选择32位或64位版的应用程序，执行自定义安装，可看到包含Windows System State Analyzer和Windows System State Monitor两个选项，需都选上。安装结束后，在桌面上会生成4个图标。

如果要监视Windows系统的状态，用Windows System State Monitor模块。运行之后显示当前计算机名称、用户名称、操作系统类型和当前日期。在下方的列表中，可选择文件系统（File system）、注册表（Registry）、服务（Services）、驱动程序（Drivers）等项目，选好之后点击Start monitoring按钮开始系统监视。

监视操作开始后，将该软件窗口最小化，然后执行自己需要的任务；任务执行完毕后，按下Stop Monitoring按钮停止监视。最后，按下Create Report按钮，指定报告生成的位置，就会自动生成含有各种注册表分支增删改情况的log文件、一份DriversAndServices.html报告文件和一份TestResult.html报告文件。其中DriversAndServices.html报告文件记录驱动和服务的变化情况，TestResult.html报告文件记录文件系统的详细变化情况。这些报告文件存放在一个以当前日期和时间命名的文件夹中。

小提示：

上述监视会跟踪记录系统的每一处更改。如果只需要对系统特定项目的更改加以监视，关注其中单个任务的变化情况即可。

如果需要比较两个不同时点的系统快照，运行Windows System State Analyzer模块。启动软件后可看到两个选项卡，其中Snapshot为快照拍摄，分左右两栏，按下Start按钮可分别拍摄两个不同时点的快照。

在默认的比较项目中，包含所有驱动器、注册表分支、服务、驱动等选项，生成一份这样的完整快照需要很长时间。因此，除非要比较整个系统项目情况的变化，否则不要急于按下Start按钮生成快照。可先执行“Tools→Options”命令，进入选项设置窗口，通过Add或Remove按钮，定制比较所需要包含的项目信息。然后返回到软件主窗口，通过Snapshot name下拉列表按情况类别指定快照的名称，最后再生成快照。

不同时点的两份快照生成完毕后，点击Quick comparison选项卡，查看两个快照的不同之处。

小提示：

虽然生成完整的系统快照需要很长时间，但为了监视系统的变化情况，有必要在系统比较稳定时生成一份完整的快照，保存为BIN文件，以便在需要时进行加载并和当前生成的BIN快照文件加以比较。

2. 用第三方工具监视系统变化

除了用上述微软工具来监视系统的变化外，我们还可以选择第三方工具完成对系统或文件夹情况变化的监视。

如果希望能更容易地监视系统各区域的变化情况，可使用WinPatrol软件，它可以让我们有目标地着眼于系统启动程序、延迟启动、计划任务、服务、活动任务、Cookies、文件类型、隐藏文件、最近访问内容、系统注册表等方面的变化。

若要监视某个文件夹中文件的变化情况，可使用FolderChangesView软件。该软件可选择监控包括子文件夹在内的文件变化情况，可进行文件排除设置，可设置要监控的文件大小范围，可按通配符以命令行的方式过滤要监控的文件，还可以设置当文件发生变化时以声音提醒等。此外，还可以指定每隔一定时间就将文件的变化输出到一个报告文件当中，报告文件有多种格式可选。