显示访问文件夹的进程

Question

我正在尝试编写一个简单的程序（最好用 C 语言）来监视给定的目录。每当进程访问该目录时，我只想打印出该进程的名称。看起来很简单，但我在 MSDN 上找不到解决方案。有谁知道我需要哪个图书馆的电话，或者有任何有用的建议？我已经考虑过反复查询哪些进程在给定目录上有句柄，并只是观察该列表中的添加内容。这种方法似乎非常密集，我希望有一种更简单的方法。谢谢。

Answer 1

我不确定是否有更简单的方法，但一种方法是使用 文件系统过滤驱动程序。或者更简单的文件系统微筛选器驱动程序。

您可以过滤、记录、跟踪、控制……所有 IO。

Answer 2

不支持从用户模式执行此操作的方法。您可以使用 FindFirstChangeNotification API 来判断何时文件或目录已更改，但这并不能告诉您是谁做的。您也许可以挂钩一些东西来获取此信息......但这当然不受支持。

如果您可以使用驱动程序，则可以使用Windows 事件跟踪对于此信息。这就是 Sysinternals ProcMon 使用的方法。但是安装驱动程序是一个非常侵入性的过程，驱动程序中的错误会导致 BSOD，并且驱动程序的安装需要管理权限。需要记住的事情。