В среде Windows, как я могу найти процесс, который создал файл, после того, как файл был создан. Или, как я могу реализовать решение, которое будет отслеживать, какой процесс создал файл, чтобы при создании файла мы могли определить, как он был создан.
Найти процесс, который создает файл во время его создания, легко, используя что-то вроде ProcessMonitor (от SysInternals/Microsoft). Тем не менее, мы смотрим на среду, в которой на каждом ПК есть файл с именем «C:\temp\temp.txt», который просто содержит ноль. После удаления файла в какой-то момент он будет воссоздан. Соотношение времени создания файла к событиям в Event Viewer не дало никаких результатов, и, поскольку создание файла непредсказуемо, я не могу использовать что-то вроде ProcessMonitor для его отслеживания.
Оптимально, так как эти машины являются удаленными (управляются с помощью RMM), я хотел бы что-то, что я могу реализовать исключительно из командной строки.