Wie protokolliere ich, welcher Prozess eine Datei unter Windows XP löscht?

16

Eine Datei wird scheinbar im Laufe des Tages nach dem Zufallsprinzip gelöscht. Der Hersteller der Software, deren Datei gelöscht wird, gibt an, dass eine andere auf dem Computer installierte Software diese löscht, während der Hersteller der anderen Software das Gegenteil sagt.

Ich habe versucht, Process Monitor zu verwenden, damit ich genau feststellen kann, was es löscht, aber selbst wenn es speziell für diese Datei gefiltert wird, werden einige Male pro Sekunde Vorgänge zum Erstellen von Dateien ausgelöst, und ich kann es nicht gezielt nach Löschvorgängen filtern.

Gibt es ein Tool oder Skript, mit dem ich Löschversuche für eine einzelne Datei gezielt überwachen kann?

windows-xp monitoring Jordan Milne
quelle
Stellen Sie die Datei vorübergehend auf schreibgeschützt ein. In procmon sollten Sie sehen, dass der Zugriff mit dem Prozessnamen verweigert wird.
User33788
Leider bin ich mir nicht sicher, ob das machbar ist. Die Löschvorgänge reichen nicht aus, um den Dienst offline zu halten, ohne viel Arbeit beim Einrichten eines Backups auf einem anderen System zu haben es passiert.
Jordan Milne

Antworten:

23

Wenn Sie Process Monitor verwenden, achten Sie auf den Vorgang SetDispositionInformationFile, das Ergebnis SUCCESSund die Delete: TrueAngabe des zu löschenden Pfads.

Darth Android
quelle