ReadDirectoryChangesW 并确定哪个进程导致了更改

Question

如何确定哪些进程正在对哪些文件进行更改。

我确实找到了这个：

FileSystemWatcher：如何知道哪个进程做了改变？

但我很好奇最近有什么改变吗？是否可以使用 ReadDirectoryChangesW 或其他方式确定哪个进程正在对文件系统进行更改？我不想编写或使用内核驱动程序。

Answer 1

对要跟​​踪的文件创建安全审核。该信息将记录在安全事件日志中。

Answer 2

虽然可以找到使用内核驱动程序更改文件的进程（例如，进程监视器），如果文件夹在网络上共享，并且另一台计算机上的进程通过网络修改文件，则识别进程时总会出现问题。
在这种情况下，即使是内核驱动程序也会将网络共享进程识别为访问文件的进程，而不是另一台计算机上的进程。

Answer 3

我似乎还不能发表评论。我对您在文件或路径上创建安全审核的 Python 代码感兴趣。如果它扰乱了系统安全事件日志，那就有点可惜了，但你不可能拥有一切！ :-)

到目前为止，我在更​​改时一直使用 GetForegroundWindow 来最终获取关联的进程。它只适用于用户发起的更改，但这主要是我感兴趣的。除了后台进程之外，唯一的小问题是有时会生成一个进程只是为了完成任务（如批处理文件）并且当您想了解更多信息时（例如产生它的进程），它已经不存在了。不过，我想即使进行了安全审核，这也是一个问题。