首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yunshui
V2EX  ›  程序员

win10 下能查看一个文件是由什么软件创建的吗?或者有什么软件可以监控创建的行为?

  •  
  •   yunshui · 85 天前 · 1475 次点击
    这是一个创建于 85 天前的主题,其中的信息可能已经有所发展或是发生改变。
    由来:https://www.v2ex.com/t/614171

    因为最近被托盘闪烁的双 11 广告烦到了,好多办法都没有找到源头。
    今天突然在 Roaming 文件夹发现了那个托盘广告的图标。
    15 回复  |  直到 2019-11-07 14:22:20 +08:00
    imn1
        1
    imn1   85 天前
    process monitor

    https://docs.microsoft.com/en-us/sysinternals/
    这里有很多很实用的“小”工具
    likuku
        2
    likuku   85 天前
    或许你可以搜索研究下 审计系统
    ungrown
        3
    ungrown   85 天前
    这类工具还是挺多的
    我说几个我知道的
    inotify (移植版,没用过,应该能用)
    pypi 上有个叫 watchdog 的库
    火绒有监控文件夹的功能
    eq06
        4
    eq06   85 天前
    1 文件系统中的文件并没有记录哪个进程创建的字段,但是可以捕获 IO,来实时监控哪个进程在对哪个文件进行创建修改查询删除
    2 托盘区闪的话,可以用工具来查看对应进程 https://www.raymond.cc/blog/find-out-what-program-are-running-at-windows-system-tray/ ; 也可以点击后让它弹窗,然后用 ProcessExplorer 定位窗口资源对应进程。
    crab
        5
    crab   85 天前
    看广告的父进程 id 就可以追踪到了。
    yunshui
        6
    yunshui   85 天前
    @crab 父进程是 svchost.exe
    FrankHB
        7
    FrankHB   85 天前
    @yunshui 搞成服务了? Process Explorer 或者 Process Hacker 之类的增强版任务管理器进程属性里找启动命令行,sc delete 一窝端了。
    nnnToTnnn
        8
    nnnToTnnn   85 天前
    inline hook , hook window 创建文件的文件头? 好久没玩了,不知道 win10 上是否还支持 inline hook
    harrison0124
        9
    harrison0124   85 天前
    表示自从装上火绒之后,各种弹窗都不见了,双十一彷佛和我没关系。
    karlakte
        10
    karlakte   85 天前
    process monitor 捕获系统 IO 可以按文件路径筛选
    z888888cn
        11
    z888888cn   85 天前
    火绒的自定义防护,可以设置。

    <img src="https://ae01.alicdn.com/kf/H00eb716a29094c28bcbe1287c2f2e9afZ.png" width="500"/>

    <img src="https://ae01.alicdn.com/kf/He651d0c3cf8d48c68adfb016d1a41b3aH.png" width="500"/>
    yunshui
        12
    yunshui   85 天前
    @FrankHB 这个是只能它启动的时候才行吧??
    yunshui
        13
    yunshui   85 天前
    @z888888cn 主要也不知道是哪个程序,目前能查到的就是 windows 下一个组件。。。
    z888888cn
        14
    z888888cn   84 天前
    @yunshui 那么纠结干嘛,哪个软件弹出的广告,就去搜索无广告的安装上呗。
    FrankHB
        15
    FrankHB   83 天前
    @yunshui 大部分情况下正常的程序从命令行就能看出是怎么启动的了。如果非要套娃几次让你看不出是哪个特异来源,那明确就是恶意程序,不放心就全系统排查杀到每个进程都认识吧。。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2397 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 14:22 · PVG 22:22 · LAX 06:22 · JFK 09:22
    ♥ Do have faith in what you're doing.