Stefano Asked: 2012-12-15 08:09:02 +0800 CST2012-12-15 08:09:02 +0800 CST 2012-12-15 08:09:02 +0800 CST EXE文件被删除 772 我有几个 Windows 框(Windows XP 和 Windows Server 2008),其中一些 EXE 文件(unwise.exe - 来自Wise 安装系统- 等等)只是不时消失。 我试图通过禁用防病毒软件、反间谍软件等来缩小这个问题的范围(我首先查看他们的日志文件和隔离区),但没有成功。事件查看器中也没有任何线索。 有什么建议吗? windows 3 个回答 Voted longneck 2012-12-15T08:36:32+08:002012-12-15T08:36:32+08:00 您可以连续运行 Process Monitor,但使用以下过滤器: 操作: SetDispositionInformationFile 结果:成功 详细信息:删除:True 这将累积所有已删除文件的日志。下次您注意到文件丢失时,请打开进程监视器并查看哪个进程负责删除该文件。 Driftpeasant 2012-12-15T08:37:41+08:002012-12-15T08:37:41+08:00 为相关文件夹打开文件审核。下次删除它们时,事件查看器将提供有关谁/什么删除了它们的信息。 您可能只想为删除事件打开它 - 否则您的事件查看器将很快被标准事件(如文件访问等)淹没。 Best Answer mprill 2012-12-15T08:44:59+08:002012-12-15T08:44:59+08:00 这听起来像是Windows Sysinternals Process Monitor的完美工作。这个强大的工具允许您监控系统上几乎所有的活动。 虽然它很强大,但它也可能很危险,因为如果不使用适当的过滤器和日志记录方法,它会对您的系统产生相当大的影响(虚拟内存耗尽就是其中之一)。 在您的情况下,我会执行以下操作: 下载Process Monitor,解压并以管理员身份运行 按停止初始捕获Ctrl+E 将支持文件从虚拟内存更改为磁盘文件,以降低系统 RAM/页面文件可能承受的压力:(File -> Backing Files... -> Use file named最好使用单独的磁盘/分区) 根据您的情况应用适当的过滤器:然后Filter -> Filter...选择Event Class is File System然后Include按Add 要进一步缩小输出范围,您可以指定要监视的文件的路径:然后选择Path is <path>然后Include按Add和OK 从捕获选择中消除所有不必要的事件Filter -> Drop Filtered Events 按开始捕捉Ctrl+E 这应该会给你一些提示,让你知道你的文件到底发生了什么,同时对你的系统影响很小。
您可以连续运行 Process Monitor,但使用以下过滤器:
这将累积所有已删除文件的日志。下次您注意到文件丢失时,请打开进程监视器并查看哪个进程负责删除该文件。
为相关文件夹打开文件审核。下次删除它们时,事件查看器将提供有关谁/什么删除了它们的信息。
您可能只想为删除事件打开它 - 否则您的事件查看器将很快被标准事件(如文件访问等)淹没。
这听起来像是Windows Sysinternals Process Monitor的完美工作。这个强大的工具允许您监控系统上几乎所有的活动。
虽然它很强大,但它也可能很危险,因为如果不使用适当的过滤器和日志记录方法,它会对您的系统产生相当大的影响(虚拟内存耗尽就是其中之一)。
在您的情况下,我会执行以下操作:
Ctrl+EFile -> Backing Files... -> Use file named最好使用单独的磁盘/分区)Filter -> Filter...选择Event Class is File System然后Include按AddPath is <path>然后Include按Add和OKFilter -> Drop Filtered EventsCtrl+E这应该会给你一些提示,让你知道你的文件到底发生了什么,同时对你的系统影响很小。