Windows(或一般的NTFS)是否存储在任何地方创建文件的应用程序的名称?
或者有一种可靠的方法可以确定哪个应用程序在最初创建后很快就会创建一个文件(几秒钟)?
我们正在研究文档管理系统。它使用FileSystemWatcher监视FS的新文件 - 这部分很简单 - 但我希望它能够跟踪哪个应用程序/版本创建了它检测到的新文件。
我知道我可以查找属于正在运行的进程的打开文件句柄,但可能这种方法只有在应用程序创建了文件然后保持锁定时才会起作用,对吧?还有更好的方法吗?
答案 0 :(得分:3)
不,不是事后。
但是,您可以创建一个服务来观察所有文件访问并自己记录信息,System Internals的FileMon会这样做。 (它实现了一个位于NTFS驱动程序之上的OS驱动程序)