找出哪个程序删除我的文件

0

我的文件有时会被随机删除。 我需要找出哪个进程删除这个文件。 Windows会记录任何有用的内容吗? 或者是否有任何第三方应用程序可以监控具有I / O操作的应用程序 我的操作系统是windows 2008 r2 请帮助我无法弄清楚导致这个问题的程序。

windows-server-2008 
Hamid
source
你需要的是什么 进程监视器 。我不会没有它。
AFH
我应该设置哪个过滤器?我找不到删除过滤器
Hamid
我很确定你可以修改这个powershell,以便做你想做的事情。 gallery.technet.microsoft.com/scriptcenter/... 此脚本使用.net FileSystemWatcher类来订阅NTFS文件系统中文件或文件夹上的“创建”,“更改”和“删除”事件。你可以修改它来监视有问题的文件夹并使用进程监视器来查看删除文件的I / O操作是什么?完全只是一个猜测。
Matt King
您应该启用文件审核,以便下次删除它们时,您将拥有它的日志。 technet.microsoft.com/en-us/library/cc771070.aspx techotopia.com/index.php/...
Ƭᴇcʜιᴇ007
删除文件的系统方式是通过 SetDispositionInformationFile,但不要寻找这个:过滤而不是 Detail contains Delete:。或者使用 Path contains 并输入要删除的文件的名称或目录。
AFH

Answers:

0

SysInternals以生产非常有用的诊断工具而闻名,在这种情况下使用的是 进程监视器 。您可以单独下载它,也可以作为其一部分 套房 非常值得拥有,特别是Process Explorer,它是任务管理器的一个大大增强的替代品。所有的实用程序都是免费软件。

您只需将ZIP文件下载并解压缩到您选择的目录,然后从那里运行。每个实用程序在首次运行时都需要接受许可条件,但不需要安装。

请注意,为了过滤文件删除,没有 FileDelete 操作:在系统级别执行删除操作 SetDispositionInformationFile 如果成功的话 Delete: True 在里面 详情 专栏,所以搜索 Detail contains Delete: 将找到所有删除尝试。或者或另外,您可以搜索要删除的文件的目录/部分名称 Path contains

AFH
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.