查找在 Windows 上创建文件的进程

Question

有没有办法找到在windows上创建特定文件的进程？

Answer 1

一般来说，不会。 Windows 不会记录创建给定文件的进程。

您也许可以使用诸如 SysInternals Process Monitor 之类的东西，它挂钩文件（和注册表 I/O），以查看您是否可以捕获文件正在创建，但一旦它被创建（并且最后一个文件句柄已关闭），Windows 会忘记它来自哪个进程。

如果文件在当前正在运行的进程中打开，您可以使用 Process Explorer（也来自 SysInternals）找出是哪一个。

如果您识别文件扩展名，有时会有所帮助。或者，也许您可​​以查看文件以查看其中是否有任何明显的内容。

Answer 2

您所能做的就是在文件类型和 mimetypes 上的关联应用程序之间找到匹配项。但即便如此，这也只是一种猜测，因为文件类型可以与多个不同的应用程序相关联。

另一种不太成功的方法是打开相关文件并在标题中搜索已知的应用程序名称。有时可以在此处找到应用名称或令牌，但您需要从名称字符串列表开始进行搜索。