EXE 文件被删除

Question 1

这听起来像是一份完美的工作Windows Sysinternals 进程监视器。这个强大的工具可以让你监控系统上的几乎所有活动。

虽然它功能强大，但它也可能很危险，因为当不使用适当的过滤器和日志记录方法时，它会对您的系统产生相当大的影响（虚拟内存耗尽就是其中之一）。

对于你的情况，我会执行以下操作：

下载 Process Monitor，解压并以管理员身份运行
通过按停止初始捕获Ctrl+E
将备份文件从虚拟内存更改为磁盘文件，以降低系统 RAM/页面文件的可能压力：（File -> Backing Files... -> Use file named最好使用单独的磁盘/分区）
根据您的情况应用适当的过滤器：Filter -> Filter...选择Event Class is File System然后Include按Add
为了进一步缩小输出范围，您可以指定要监视的文件的路径：选择Path is <path>然后Include按AddOK
从捕获选择中消除所有不必要的事件Filter -> Drop Filtered Events
按以下方式开始捕捉Ctrl+E

这应该会给你一些提示，让你了解你的文件到底发生了什么，同时对你的系统的影响很小。

Answer

这听起来像是一份完美的工作Windows Sysinternals 进程监视器。这个强大的工具可以让你监控系统上的几乎所有活动。

虽然它功能强大，但它也可能很危险，因为当不使用适当的过滤器和日志记录方法时，它会对您的系统产生相当大的影响（虚拟内存耗尽就是其中之一）。

对于你的情况，我会执行以下操作：

下载 Process Monitor，解压并以管理员身份运行
通过按停止初始捕获Ctrl+E
将备份文件从虚拟内存更改为磁盘文件，以降低系统 RAM/页面文件的可能压力：（File -> Backing Files... -> Use file named最好使用单独的磁盘/分区）
根据您的情况应用适当的过滤器：Filter -> Filter...选择Event Class is File System然后Include按Add
为了进一步缩小输出范围，您可以指定要监视的文件的路径：选择Path is <path>然后Include按AddOK
从捕获选择中消除所有不必要的事件Filter -> Drop Filtered Events
按以下方式开始捕捉Ctrl+E

这应该会给你一些提示，让你了解你的文件到底发生了什么，同时对你的系统的影响很小。

Question 2

您可以连续运行进程监视器，但要使用以下过滤器：

这将积累所有已删除文件的日志。下次您发现文件丢失时，请打开进程监视器并查看哪个进程负责删除该文件。

Answer

您可以连续运行进程监视器，但要使用以下过滤器：

这将积累所有已删除文件的日志。下次您发现文件丢失时，请打开进程监视器并查看哪个进程负责删除该文件。

Question 3

为相关文件夹启用文件审核。下次删除它们时，事件查看器将包含有关谁/什么删除它们的信息。

您可能只想为删除事件启用它 - 否则您的事件查看器将被标准事件（如文件访问等）迅速淹没。

Answer

为相关文件夹启用文件审核。下次删除它们时，事件查看器将包含有关谁/什么删除它们的信息。

您可能只想为删除事件启用它 - 否则您的事件查看器将被标准事件（如文件访问等）迅速淹没。

相关内容