使用系统工具进行文件监控-CSDN博客

本文链接：https://blog.csdn.net/qq_35485206/article/details/143137340

要监控磁盘文件的生成和删除，并判断某个软件是否会生成临时文件，通常可以使用以下几种方法：

1. 使用系统工具进行文件监控

大多数操作系统都有工具可以监控文件系统的变化，以检测文件生成、删除、修改等事件。这里介绍几种主流操作系统上的工具：

在 Windows 上

Windows 上可以使用 PowerShell 的 Get-EventLog 或 Sysinternals Suite 中的 Process Monitor 来监控文件活动。

Process Monitor 步骤：

下载并安装 Process Monitor。
启动 Process Monitor，并选择“过滤器”以专门监控你关注的软件。
设置过滤器，只显示与“文件系统活动”相关的事件，如文件创建、删除等。
运行目标软件，观察 Process Monitor 输出，查找临时文件的创建和删除。

在 Linux/macOS 上

在 Linux 和 macOS 上，可以使用 inotify(Linux)和 fs_usage(macOS)等工具。

inotifywait(Linux)：

安装：sudo apt-get install inotify-tools
使用：

fs_usage(macOS)：

在 macOS 上，可以使用 fs_usage 工具来监控文件系统的活动：

2. 编写自定义脚本

如果需要更精细的控制，也可以编写自定义脚本监控特定目录的文件活动。例如，Python 提供了监控文件系统变化的库。

使用 Python 的 `watchdog` 库

你可以使用 Python 的 watchdog 库监控目录的文件活动，如文件创建、删除等。

安装 watchdog：

编写监控脚本：

import time
from watchdog.observers import Observer
from watchdog.events import FileSystemEventHandler

class MyHandler(FileSystemEventHandler):
    def on_created(self, event):
        print(f"File created: {event.src_path}")

    def on_deleted(self, event):
        print(f"File deleted: {event.src_path}")

event_handler = MyHandler()
observer = Observer()
observer.schedule(event_handler, path='/path/to/monitor', recursive=True)
observer.start()

try:
    while True:
        time.sleep(1)
except KeyboardInterrupt:
    observer.stop()
observer.join()

3. 获取临时文件内容

当发现目标软件生成的临时文件时，你可以采取以下步骤获取文件内容：

直接读取文件：如果文件没有被锁定，可以直接使用常规文件读取方法(例如 cat 命令或文件查看器)查看文件内容。

处理被锁定文件：某些软件生成的临时文件可能会被锁定(只允许该软件访问)。你可以尝试在文件被释放前使用特定工具(如 Windows 上的 Process Explorer)获取句柄，或者使用 lsof(Linux/macOS)查看文件句柄占用情况。

总结：

使用系统提供的工具(如 Windows 上的 Process Monitor，Linux 上的 inotify，macOS 上的 fs_usage)监控文件生成和删除。
使用 Python watchdog 库编写脚本，定制监控逻辑。
一旦检测到临时文件，立即查看该文件的内容，确保能够及时读取。如果文件被锁定，可借助额外的工具分析句柄。