跨平台文件访问跟踪

Question

我希望能够跟踪特定程序调用的文件读/写。 不需要有关实际事务的信息，只需要涉及的文件名。

有没有跨平台的解决方案？
各种平台特定的方法有哪些？
在 Linux 上我知道有 strace/ptrace （如果有更快的方法那就太好了）。
我认为在 macOS 上有 ktrace。
那么 Windows 呢？

另外，如果能够阻止（拖延）文件访问直到稍后的时间，那就太棒了。

谢谢！

Answer 1

只要你的程序启动了你想要监视的进程，你就可以编写一个调试器，然后每次进程启动或退出时你都会收到通知。 当进程启动时，您可以注入一个 DLL 来挂钩每个进程的 CreateFile 系统调用。 然后，挂钩可以使用管道或套接字向调试器报告文件活动。

Answer 2

最简洁的答案是不。 有很多特定于平台的解决方案，它们可能都具有相似的接口，但它们本质上不是跨平台的，因为文件系统往往是特定于平台的。

---

如何在每个平台上做好它？

同样，这取决于平台:) 对于 Windows，如果您想跟踪飞行中的读/写，您可能必须使用 IFS。 如果您只想收到更改通知，可以使用 ReadDirectoryChangesW 或 NTFS 更改日志。

我建议使用 NTFS 更改日志，因为它往往更可靠。

Answer 3

在 Windows 上，您可以使用命令行工具 Handle 或 GUI 版本 Process Explorer查看给定进程打开了哪些文件。

如果您正在寻找在自己的程序中获取此信息，您可以使用 IFS 工具包，来自 Microsoft，用于编写文件系统过滤器。 文件系统过滤器将显示所有进程的所有文件系统操作。 文件系统过滤器在 AV 软件中用于在文件打开之前对其进行扫描或扫描新创建的文件。