Existe uma maneira de saber o que um arquivo executável fez (quais arquivos foram copiados, em qual pasta copiou esses arquivos, que registro de chave editou, etc)?
Respostas:
2 para resposta № 1Eu votei no procmon responda. No entanto, eu gostaria de acrescentar que procmon é praticamente apenas uma ferramenta para exibir e traçar a chave de registro em tempo real do Windows (HKEY_PERFORMANCE_DATA) valores. Se você quiser monitorar algumas dessas coisas programaticamente, você só precisa escrever código para analisar e processar esses mesmos valores de registro. HKEY_PERFORMANCE_DATA você mesmo.
4 para resposta № 2
Procmon é um bom lugar para começar.
3 para resposta № 3
Existem diferentes ferramentas para os diferentes sistemas operacionais, com certeza. Para MS Windows, o pacote SysInternals, de Mark Russinovich e Bryce Cogswell, tem muitas ferramentas para isso.
Tem em tempo real FileMonitor, DiskMonitor, ProcessMonitor, monitor de rede e monitor de registro mostrando as informações de maneira muito detalhada e compreensível.
Você deve baixar o pacote inteiro, pois são programas diferentes dentro dele.
http://technet.microsoft.com/en-us/sysinternals/bb842062
1 para resposta № 4
Você pode usar utilitários de sysinternals como ProcessMonitor. Com ele você pode monitorar o registro, sistema de arquivos, acesso à rede e algo mais (desculpe, eu não consigo lembrar de todos os recursos).