windows - 查找在 Windows 上创建文件的进程

Question

有没有办法找到在 Windows 上创建特定文件的进程？

Answer 1

一般来说，没有。Windows 不会记录创建给定文件的进程。

您可能可以使用 SysInternals Process Monitor 之类的东西，它挂钩文件（和注册表 I/O），以查看是否可以捕获正在创建的文件，但是一旦创建（并且最后一个文件句柄已关闭），Windows 就会忘记它来自哪个过程。

如果文件在当前正在运行的进程中打开，您可以使用 Process Explorer（也来自 SysInternals）来找出是哪一个。

如果您识别文件扩展名，有时会有所帮助。或者，也许您可​​以查看文件以查看其中是否有任何明显的内容。

Answer 2

您所能做的就是在文件类型和 mimetypes 上的关联应用程序之间找到匹配项。但即便如此，这也只是一种猜测，因为文件类型可以与多个不同的应用程序相关联。

另一种不太成功的方法是打开有问题的文件并在标题中搜索已知的应用程序名称。有时可以在此处找到应用程序名称或令牌，但您需要从要搜索的名称字符串列表开始。