Windowsでファイルを変更しているプロセスを検出する
Windows 7でファイルを変更しているプロセスを検出する方法はありますか?
私はprocmonが素晴らしいツールであることを知っていますが、それを行う方法や、それが可能であるとしても、それを理解することができませんでした。
問題は、あるアプリケーションによって変更されたファイルがあり、どれを見つけたいかということです。
procexp と procmon の両方がこれに適しています。プロセスが問題のファイルへのハンドルを保持している場合は、procexpを実行し、[検索]メニューから[ハンドルまたはDLLの検索]を選択して、検索するファイル名の一部を入力します。
または(質問へのコメントで述べたように)、procmonを使用して、たとえばreadme.txtというファイルを検索するには、フィルターダイアログを開き、フィルターを次のように設定します。
次に、[追加]ボタンを押します。ファイルに影響を与えている可能性のある、除外されている他のプロセスがないことを確認してください。
次に、イベントのキャプチャを開始し、座って待ちます。