Есть ли какой-либо подход к сканированию процессов, которые создавали или изменяли файлы / папки?
Этот вопрос отличается от проверки того, какие процессы блокируют файлы / папки, которые можно легко идентифицировать, например, с помощью Process Explorer.
Мотивация для этого вопроса - найти журнал, когда файл был создан и для какого процесса (владелец не важен). Сейчас, когда я проверяю эту информацию, процесс уже закончился.
В том же наборе инструментов, что и Process Explorer, вы найдете Монитор процесса.
Process Monitor - это расширенный инструмент мониторинга для Windows, который в реальном времени показывает активность файловой системы, реестра и процессов / потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая богатую и неразрушающую фильтрацию, комплексные свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессе, полные стеки потоков с интегрированной поддержкой символов. для каждой операции, одновременная запись в файл и многое другое. Его уникальные мощные функции сделают Process Monitor основной утилитой в наборе инструментов для поиска и устранения неисправностей вашей системы.