是否可以告訴哪個應用程序創建了一個文件？

Question

Windows（或一般的NTFS）是否存儲在任何地方創建文件的應用程序的名稱？

另一種方法是確定哪個應用程序負責在最初創建文件後立即創建文件（比如幾秒鐘）？

我們正在研究文檔管理系統。它使用FileSystemWatcher監控FS的新文件 - 這部分很簡單 - 但我希望它能夠跟蹤哪個應用程序/版本創建了它檢測到的新文件。

我知道我可以查找屬於正在運行的進程的打開文件句柄，但想必這種方法只能在應用程序創建該文件並將其鎖定在其上時正常工作，對嗎？有沒有更好的辦法？

Answer 1

不，事後並非如此。

但是，您可以創建一個服務來觀察所有文件訪問並自己記錄信息，System Internals中的FileMon會執行此操作。 （它實現了位於NTFS驅動程序之上的OS驅動程序）