1 votos

Proceso de búsqueda que está creando un archivo en el disco (después del hecho)

En un entorno de Windows, ¿cómo puedo encontrar un proceso que crea un archivo, después de que el archivo fue creado. O, ¿cómo puedo implementar una solución que se hará un seguimiento del proceso que se crea un archivo, de modo que cuando se crea el archivo que luego se puede hacer la determinación de cómo fue creado.

Encontrar el proceso que es la creación de un archivo mientras se está creando el archivo es fácil de usar algo como ProcessMonitor (de SysInternals/Microsoft). Sin embargo, estamos en un entorno en el que cada PC tiene un archivo llamado "C:\temp\temp.txt" que sólo contiene un cero. Después de eliminar el archivo, ya que, en algún momento, que el archivo se vuelve a crear. La correlación de la hora de creación del archivo para eventos en el Visor de Sucesos no ha dado ningún resultado, y desde la creación del archivo no es predecible que no puedo usar algo como ProcessMonitor de seguirle la pista.

De manera óptima, ya que estas máquinas son remoto (administrados en una RMM), me gustaría algo que me puede implementar puramente por línea de comandos.

0voto

shawn Puntos 21

Si bien no es una solución perfecta, puede usar FolderChangesView de Nirsoft para ver la carpeta Temp y activar una lista de procesos o handle cuando se crea el archivo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: