跟踪哪个进程打开了特定文件

Question

在 Windows 的内核模式中，我能够拦截和监视在特定磁盘上执行的几乎所有操作。 当出于任何目的打开文件时，我会收到一个事件。

现在我想追踪哪个应用程序打开了它。 我认为这应该是可能的，但不知道如何。

我正在使用 Windows Win32 API 中的标准文件管理功能。

提前致谢。

/罗伯特

Answer 1

Sysinternals Filemon（免费）可以做到这一点，而且更好的是他们描述了如何他们做到了：

对于Windows 9x驱动，心脏
FileMon 的内容在虚拟设备中
驱动程序，Filevxd.vxd。 它是动态的
已加载，并在初始化时
通过安装文件系统过滤器
VxD服务，
IFSMGR_InstallFileSystemApiHook，到
将其自身插入到调用链中
所有文件系统请求。 在 Windows 上
NT FileMon 的核心是文件
创建和的系统驱动程序
将过滤器设备对象附加到
目标文件系统设备对象所以
FileMon 将看到所有 IRP 并
FastIO 请求针对驱动器。
当 FileMon 看到打开的文件时，创建或
千钧一发，它更新了内部
充当映射的哈希表
内部文件句柄和文件之间
路径名称。 每当看到来电时
基于句柄的，它会查找
哈希表中的句柄获取
用于显示的全名。 如果一个
基于句柄的访问引用文件
在 FileMon 启动之前打开，FileMon
将无法在其中找到映射
哈希表并且将简单地呈现
而是使用句柄的值。

-亚当

Answer 2

Sysinternals 在执行和解释方面做得非常好，旧版本的一些源代码仍然可用 这里，并且代码有详细记录（恕我直言）。 这也可能是一个好的开始。

Answer 3

我会使用 Sysinternals 的“handle.exe”应用程序。

或者，您实际上正在尝试以编程方式执行此操作吗？

Answer 4

只需使用 Win32 N.API 从文件句柄获取 pid。
这是15年来的常见问题解答...