如何确定哪些进程正在更改哪些文件。
我确实找到了这个:
FileSystemWatcher:如何知道哪个进程进行了更改?
但我很好奇最近有什么变化吗?是否有可能确定哪个进程正在对文件系统进行更改,无论是使用ReadDirectoryChangesW
还是其他方式?我宁愿不必编写或使用内核驱动程序。
如何确定哪些进程正在更改哪些文件。
我确实找到了这个:
FileSystemWatcher:如何知道哪个进程进行了更改?
但我很好奇最近有什么变化吗?是否有可能确定哪个进程正在对文件系统进行更改,无论是使用ReadDirectoryChangesW
还是其他方式?我宁愿不必编写或使用内核驱动程序。
对要跟踪的文件进行安全审核。该信息将记录在安全事件日志中。
虽然可以使用内核驱动程序(例如,进程监视器)找出更改文件的进程,但如果文件夹在网络上共享,以及另一台计算机上的进程,识别进程总是会出现问题通过网络修改文件。在这种情况下,甚至内核驱动程序也会将网络共享进程识别为访问文件的进程,而不是另一台计算机上的进程。
我似乎还不能发表评论。我会对您在文件或路径上创建安全审计的 Python 代码感兴趣。如果它与系统安全事件日志混淆,那就有点可惜了,但你不能拥有一切!:-)
到目前为止,我一直在更改时使用 GetForegroundWindow 以最终获得关联的进程。它只适用于用户发起的更改,但这主要是我感兴趣的。除了后台进程之外,唯一的小问题是有时会产生一个进程只是为了完成一项任务(如批处理文件)和当您想了解更多有关它的信息时(例如产生它的过程),它已经不存在了。不过,我认为即使进行安全审计也是一个问题。