用Process Monitor观察进程对文件的操作（创建和重命名）

• Process Monitor 是Windows环境下很好用的进程动作监控工具。

• 然而用它监视进程的动作时往往会产生太多事件，以至于很难判断用户所需要关注的关键步骤在哪。
• 可以用PM观察进程创建进程创建一个新文件的动作。
• 可以用PM观察进程把一个文件重命名为另一个文件的动作。

在有些场合，知道进程创建和重命名文件是很有用的！！（什么场合？见仁见智！）

 

=======================创建文件部分===========

办法如下：

 

主要思路：用CMD命令创建一个文件（用其它工具会生成很多额外的事件），然后观察创建过程

 

1. 过滤CMD以外的其它进程的产生的事件。菜单 -> filter。过滤其它进程如下图（[Process Name] [is] [cmd.exe] [Include]），只显示cmd进程的产生的事件。

 

2. 在CMD里运行D:/> D:>D:/aa.txt ， 这个命令中开头的D:/>是提示符，是CMD显示给用户的，不需要输入。而其后的命令 D:>D:/aa.txt为手动输入的部分。 这个命令会在D盘也生成新文件aa.txt。

 

3. 再查看PM里的内容（只有创建文件的事件了:)）

 

 

=======================文件重命名文件部分===========

 

1. 还是先调好PM，让它只显示CMD的动作。（参见上一节第一步，当然接着上一节做更好）。把PM里的事件清空

2. 把PM里原来留下来的事件清空（如果有的话）

3. 在CMD里运行D:/>rename aa.txt bb.txt 。该命令把D盘下的文件aa.txt重命名为bb.txt。

4. PM中可以观察到如下结果