进程最近打开的所有文件的列表在哪里？

Question 1

您正在谈论几个完全独立的列表。

目前已开业文件可以通过进程表达式，处理，打开文件视图以及其他几种工具，打开手柄由进程持有。

最近修改文件可以在安全登录事件查看器 ( eventvwr.msc)。但是，您只能看到手动启用的文件审计在他们身上（在属性 → 安全 → 高级)，因为默认情况下它是被禁用的。

在 NTFS 上，系统程序可以访问变更日志（又名 USN 期刊；参见微软)，它记录所有卷更改，包括文件修改。据我所知，唯一可以显示这些条目的用户空间工具是fsutil。

Answer

您正在谈论几个完全独立的列表。

目前已开业文件可以通过进程表达式，处理，打开文件视图以及其他几种工具，打开手柄由进程持有。

最近修改文件可以在安全登录事件查看器 ( eventvwr.msc)。但是，您只能看到手动启用的文件审计在他们身上（在属性 → 安全 → 高级)，因为默认情况下它是被禁用的。

在 NTFS 上，系统程序可以访问变更日志（又名 USN 期刊；参见微软)，它记录所有卷更改，包括文件修改。据我所知，唯一可以显示这些条目的用户空间工具是fsutil。

Question 2

没有内置方法来查看打开的句柄，但您可以查看正在使用的文件和文件夹列表，以及使用哪个进程打开它们解锁者（以及关闭，复制，删除等）。

您可以查看文件和文件夹访问列表Windows 安全审核 ^{[经验值][7]}，哪个是包含在 Windows 2000 及更高版本中。

Answer

没有内置方法来查看打开的句柄，但您可以查看正在使用的文件和文件夹列表，以及使用哪个进程打开它们解锁者（以及关闭，复制，删除等）。

您可以查看文件和文件夹访问列表Windows 安全审核 ^{[经验值][7]}，哪个是包含在 Windows 2000 及更高版本中。

相关内容