在 Windows 环境中,如何在文件创建后找到创建该文件的进程。或者,如何实现一个解决方案来跟踪哪个进程创建了文件,以便在创建文件时我们能够确定它是如何创建的。
查找正在创建文件的进程尽管使用类似 ProcessMonitor(来自 SysInternals/Microsoft)的工具可以轻松跟踪正在创建的文件。但是,我们查看的环境是,每台 PC 都有一个名为“C:\temp\temp.txt”的文件,该文件上只包含一个零。删除该文件后,它会在某个时候重新创建该文件。将文件创建时间与事件查看器中的事件关联起来没有产生任何结果,而且由于文件的创建不可预测,我无法使用类似 ProcessMonitor 的工具来跟踪它。
理想情况下,由于这些机器是远程的(在 RMM 下管理),我希望可以纯粹通过命令行实现一些功能。
答案1
我认为 Shawn 的意思是 文件活动监视经过尼尔软件。请查看,感谢 OP 和 Shawn,我需要找到它。
答案2
虽然这不是一个完美的解决方案,但你可以使用文件夹更改视图从 Nirsoft 监视 Temp 文件夹并触发进程列表或handle文件创建时。