как узнать какая программа создала файл
Как отследить изменения в системе после установки программы?
Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» — до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)
А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st,
это Process Monitor от Sysinternals — это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂 ) И спрятать какие либо движения от этой утилиты, при правильной ее настройке — крайне затруднительно. (Хотя возможно, знаю как но не скажу — ибо нехер)
PS: Единственное — внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки — отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).
Как узнать какая программа создала файл
Добрый день. Появилась такая проблема. На сервере freebsd
ежедневно создается архив /usr/backup/dp_2015-09-30.tar и этот архив занимает все свободное место. Сколько бы его не было.
Попробовалничего не нашло в конфигах, файл принадлежит root, подскажите как можно вычислить что за процесс его создает. Посмотреть что в архиве нет возможности, потому что, архив до конца не создается, видимо места не хватает, и по этому не открывается и не читается.
Заранее благодарен за помощь.
| 1. «Как узнать какая программа создает файл» | + / – |  |
| Сообщение от ipmanyak (??) on 30-Сен-15, 11:47 | ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
| 2. «Как узнать какая программа создает файл» | –1 + / – |  |
| Сообщение от eRIC (ok) on 30-Сен-15, 12:47 | ||
значит этот бекап не настроен в обычных конфиг файлах, а в какой нить программе/сервисе которая крутится на сервере и делает бекап, а конфиг его в другом формате сохранен. или же по сети подает туда бекап какие сервисы работают на сервере? бд, прокси, и т.д. и т.п. или путь описан относительным путем. | ||
| Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору | ||
| 3. «Как узнать какая программа создает файл» | +1 + / – | |
| Сообщение от DeerFriend on 30-Сен-15, 14:33 | ||
| ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
 | ||
| 4. «Как узнать какая программа создает файл» | + / – | |
| Сообщение от eRIC (ok) on 30-Сен-15, 14:49 | ||
#lsof +D /usr/backup/ (если lsof установлен) | ||
| Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору | ||
| ||
| 5. «Как узнать какая программа создает файл» | +1 + / – | |
| Сообщение от anonymous (??) on 30-Сен-15, 20:09 | ||
а что, в freebsd нет ничего похожего на inotify?
Нету, ни inotyfy, ни dnotify, ни fanotify. Они очень обижаются по этому поводу, А ваще, уже лет 20 точно, есть мультиплатформеный File Access Monitor от Sillicon Graphics: http://search.cpan.org/ | ||
| Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору | ||
| 6. «Как узнать какая программа создает файл» | +1 + / – | |
| Сообщение от Square1 on 30-Сен-15, 22:07 | ||
Разрешите вам не поверить что нельзя посмотреть содержимое.
Да. Шикарная западлянка. /dev/random бэкапится 🙂 Как узнать, какой процесс блокирует файл или папку в WindowsКак я могу узнать, какой процесс блокирует файл или папку в Windows? Например, при попытке удалить папку Windows сообщает следующее:
Такая же ошибка может возникнуть при переименовании или удаления как папки, так и файла. Но как узнать, какая программа или приложение в настоящее время использует его и не позволяет удалить файл или папку? Имеется сразу несколько способов и программ чтобы найти процессы и программы, которые открыли файл. 1. Монитор ресурсов Для поиска программы или процесса, открывшей файл, вы можете использовать Монитор ресурсов (Resource Monitor), который встроен в Windows 7, 8 и 10. Откройте Монитор ресурсов, это можно сделать несколькими способами:
В Мониторе ресурсов перейдите на вкладку ЦП (CPU). Используйте поле поиска в разделе «Связанные дескрипторы»
В результатах поиска в столбце «Образ» вы увидите, какая программа запустила процесс, блокирующий файл. Здесь же вы можете кликнуть правой кнопкой мыши по любому найденному процессу и нажать «Завершить процесс», чтобы закрыть программу, блокирующую файл.
2. Process Explorer Process Explorer — это официальная программа от Microsoft/SysInternals, которую можно скачать по ссылке: https://download.sysinternals.com/files/ProcessExplorer.zip Перейдите в Find → Handle or DLL.
В текстовом поле «Handle or DLL substring:» введите путь до файла или папки. Будут показаны все процессы, которые имеют открытый обработчик на этот файл. 3. OpenedFilesView OpenedFilesView это бесплатная программа не требующая установки, она покажет все открытые файлы, имеется возможность искать по имени или пути файла:
4. LockHunter LockHunter — это надёжная программа для разблокировки файлов.
Это бесплатный инструмент для удаления файлов, заблокированных неизвестным процессом. LockHunter полезен для борьбы с вредоносными программами и другими программами, которые блокируют файлы без причины. В отличие от других подобных инструментов, он удаляет файлы в корзину, поэтому вы можете восстановить их, если удалили по ошибке.
Как узнать какая программа создала файлДорогие друзья!
Как определить принадлежность файла на компьютере
Файлы обычно имеют имя и расширение, сложилось так, что таким образом легче с ними работать. Файлы практически в любой операционной системе различаются по его расширению. Но, и не так редки случаи, когда операционные системы распознают файлы по содержимому, а не ориентируются на имена и расширения, хотя чаще, всё происходит наоборот. Поэтому и определяется важность учёта расширений файлов. Какой файл, точнее, с каким расширением какой программе подходит или принадлежит, не всегда можно однозначно определить. Например, лог-файлы может создавать практически любая программа и никакой привязки к хозяину файл не имеет, если разработчик программы не позаботился о том, чтобы было легче идентифицировать хозяина. Криминала особого в том нет, если какой-то файл невозможно однозначно идентифицировать, и он оказался потеряшкой. Важнее содержимое файла, когда не ясно, чей он и кому нужен. Но. В операционных системах действуют ассоциации по «типам» файлов с конкретными прикладными программами. Изменить привязку файла к программе может сам пользователь компьютера по своему усмотрению, не лишая эту операцию здравого смысла. Программы «научить» работать с «чужими» файлами не так просто, а порой и невозможно. Чтобы научиться разбираться в файлах, которые находятся на вашем компьютере, например, на рабочем столе вашего монитора, чтобы свободно пользоваться необходимыми программами на компьютере для решения своих повседневных задач, рекомендуем ознакомиться с нашими компьютерными курсами для начинающих © 2006—2021 Все права защищены
| ||
