MVV
|
 Posted: Sun Oct 02, 2016 17:55 Post subject: |
 |
|
Процессы мелькают бешенно - да, и отфильтровать по процессу нельзя, т.к. надо как раз узнать, что за процесс обращается к файлу...
Искать имена изменившихся файлов. Раз у них изменился таймштамп, кто-то открыл их на запись и что-то с ними сделал.
Собственно, провёл тест. Изменил файл в Visual Studio и сохранил.
Добавил в ProcMon фильтр:
| Code: | Path contains filename.ext |
Остались лишь события, связанные с моим файлом. Далее, чтобы изменить файл, его надо открыть на запись, это будет операция CreateFile с параметром Desired Access: Generic Write, ввёл фильтр:
| Code: | Details contains Desired Access: Generic Write |
В итоге осталось ровно 1 событие - открытие средой разработки файла на запись.
_________________
TCFS2 + TCFS2Tools: Полноэкранный режим и многое другое (обсуждение)
WINCMD.RU: AskParam, CopyTree, NTLinks, Sudo, VirtualPanel… |
|
Rules
Search
FAQ
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
