Controllare file aperti, modificati o cancellati in Windows

Quando si studia il funzionamento di un’applicazione o allorquando si avesse la necessità di controllare le attività in corso sul proprio sistema o su una macchina oggetto di analisi, spesso risulta utile controllare i file aperti, modificati o cancellati.
Si tratta di una verifica che permette di far emergere la causa di qualche problema rilevato sul sistema o consente di comprendere nel dettaglio il funzionamento di un programma.

Tra gli strumenti più utili allo scopo da oggi possiamo annoverare anche FileActivityWatch, un’applicazione che è stata sviluppata da Nir Sofer e che visualizza in tempo reale i file aperti, modificati o cancellati in Windows evidenziandoli con un colore differente:

– Operazioni di lettura: verde
– Operazioni di scrittura: giallo
– Operazioni di lettura e scrittura: rosso
– Operazioni di eliminazione file: blu

Per avviare FileActivityWatch è dapprima necessario scaricare il programma dal sito ufficiale (digitare FileActivityWatch nella casella di ricerca di Google e fare riferimento al primo risultato, sito Nirsoft).
Con un doppio clic, Windows chiederà di confermare l’assegnazione dei diritti di amministratore al programma.

Dopo averli concessi, FileActivityWatch inizierà subito a visualizzare l’elenco dei file in corso di utilizzo sul sistema.
La lista viene aggiornata in tempo reale: le voci colorate sono quelle relative agli accessi in corso mentre quelle su sfondo bianco indicano le operazioni di lettura, scrittura e cancellazione effettuate in precedenza.

In corrispondenza della colonna Process name si trova il nome del processo che ha richiesto l’operazione; nelle colonne Read bytes e Write bytes il quantitativo di dati gestiti.
Scorrendo verso destra la tabella, si trova l’indicazione della data e dell’ora in cui è avvenuto l’ultimo accesso del file nelle varie modalità.

Con un clic sulle colonne, è possibile ordinare i vari elementi sulla base di molteplici criteri tra cui nome del file, identificativo del processo e nome del processo.

Per fermare rapidamente l’attività di monitoraggio in tempo reale, suggeriamo di premere il tasto F2 mentre utilizzando la combinazione di tasti CTRL+X si può ripulire rapidamente tutta la lista e sbarazzarsi di tutte le informazioni raccolte.

Un’ottima alternativa a FileActivityWatch è il software Microsoft Process Monitor che abbiamo presentato negli articoli seguenti:

– Applicazione si blocca cliccando su Salva con nome
– Esplora risorse ha smesso di funzionare, le soluzioni

L’ottimo FolderChangesView, sviluppato sempre da Nir Sofer, consente di monitorare le modifiche applicate al sistema: Monitorare modifiche a file e cartelle in Windows.