当系统 PID 4 锁定文件或文件夹时,我如何才能无需猜测就确定哪个程序/进程/服务正在锁定它?

当系统 PID 4 锁定文件或文件夹时,我如何才能无需猜测就确定哪个程序/进程/服务正在锁定它?

(这个问题不是找出 Windows 中哪个进程正在锁定文件或文件夹 我特别想问的是 PID-4 何时锁定​​它(除了我说的是没有使用猜测之外。而且那个问题甚至没有提到 PID-4))

当系统 PID 4 锁定文件或文件夹时,我如何才能无需猜测就确定哪个程序/进程/服务正在锁定它?

例如,查看进程资源管理器的结果,其中显示一个可能被锁定的文件。

在此处输入图片描述

现在,无需任何猜测,我如何确定是什么锁定了它?(当我从进程资源管理器中看到的唯一信息是它是 SYSTEM/PID-4 时)

添加

有人问这是否是进程浏览器:如何找出系统 PID 4 是什么 问题是相似的...但没有答案可以回答我的问题...此外,那里的问题非常简单,说“我怎样才能找出“System, PID: 4”到底是哪个应用程序?”

我知道 PID 4 不是应用程序。它与系统有关... 并且可能是服务。

所以我的问题和那个问题不一样。那个人对 PID 4 有什么误解,有人可以通过说明它是什么和不是什么来部分回答这个问题。

答案1

它是 Windows 内核。此虚拟进程包含所有正在运行的内核模式驱动程序。这还包括 Windows 文件共享、HTTP.SYS 以及可能的所有病毒扫描程序。

不幸的是,文件句柄记帐仅在进程级别完成,因此您无法获取其他信息。

来源)(也标记为重复)

答案2

在这种情况下,我可以在一定程度上做到这一点,而在其他一些情况下,也许也可以做到这一点。

对于那个文件,锁定导致 Visual Studio 出现错误,当我查找该错误时,我得到了有关恶意软件字节导致问题的结果,即恶意软件字节中存在一个错误,它会锁定文件。https://stackoverflow.com/questions/46685916/unable-to-copy-file-obj-debug-to-bin-debug-access-to-the-path-bin-debug-is-deni/53334130#53334130

可能存在某些可疑的罪魁祸首程序……反恶意软件正在运行,也许“应用程序体验”不是手动的……事实上,“应用程序体验”服务对我来说被列为“正在停止”,这可能是因为恶意软件字节 (MBAM) 中存在错误……该服务需要手动……至少对于 Visual Studio 来说是这样,但对于其他程序来说可能也是如此。而且默认情况下它应该是手动的。如果不是,那么就像在这种情况下,可能是某个程序正在使其崩溃。

因此,一般来说,如果某个软件无法访问该文件,或者无法对该文件、某些文件、其文件、其创建的文件或正在处理的文件执行某些操作,那么在 Google 上查找该文件会很有用,而不仅仅是文件被锁定,因为对于被锁定的文件而言,当它是 PID 4 时似乎没有太多线索。反恶意软件可能是罪魁祸首,因为它确实会扫描文件。

相关内容