Jak znaleźć proces, w którym plik jest otwarty w systemie Windows?

Jedną z rzeczy, które denerwują mnie bez końca w systemie Windows, jest stary błąd naruszenia zasad udostępniania . Często nie można zidentyfikować, co go utrzymuje. Zwykle jest to tylko edytor lub eksplorator wskazujący odpowiedni katalog, ale czasami musiałem uciekać się do ponownego uruchomienia komputera.

Wszelkie sugestie dotyczące znalezienia sprawcy?

Miałem sukces z Sysinternals Process Explorer . Dzięki temu możesz wyszukać, który proces (procesy) mają otwarty plik, i możesz użyć go do zamknięcia uchwytów, jeśli chcesz. Oczywiście bezpieczniej jest zamknąć cały proces. Zachowaj ostrożność i osąd.

Aby znaleźć konkretny plik, użyj opcji menu Find->Find Handle or DLL... Wpisz część ścieżki do pliku. Lista procesów pojawi się poniżej.

Jeśli wolisz wiersz poleceń, pakiet Sysinternals zawiera uchwyt wiersza poleceń , który wyświetla listę otwartych uchwytów. Kilka przykładów, jak go używać:

• c:\Program Files\SysinternalsSuite>handle.exe |findstr /i e:\ - znajdź wszystkie pliki otwarte z dysku E:
• c:\Program Files\SysinternalsSuite>handle.exe |findstr /i file-or-path-in-question

W tym celu można użyć Monitora zasobów, który jest wbudowany w Windows 7, 8 i 10.

1. Otwórz Monitor zasobów , który można znaleźć
   • Szukając Resource Monitor lub resmon.exe w menu Start, lub
   • Jako przycisk na karcie Wydajność w Menedżerze zadań
2. Przejdź do zakładki CPU
3. Użyj pola wyszukiwania w Associated Uchwyty sekcję
   • Zobacz niebieską strzałkę na zrzucie ekranu poniżej

Po znalezieniu uchwytu możesz zidentyfikować proces, patrząc na kolumnę Obraz i / lub PID.

Następnie możesz spróbować zamknąć aplikację w normalny sposób lub, jeśli nie jest to możliwe, wystarczy kliknąć prawym przyciskiem myszy uchwyt i zabić proces bezpośrednio z tego miejsca. Bułka z masłem!

Skopiowano z mojej oryginalnej odpowiedzi: https://superuser.com/a/643312/62

Wypróbuj polecenie openfiles .

Bądź bardzo ostrożny przy zamykaniu uchwytów; jest to nawet bardziej niebezpieczne, niż mogłoby się wydawać, z powodu recyklingu uchwytu - jeśli zamkniesz uchwyt pliku, a program otworzy coś innego, ten oryginalny uchwyt pliku, który zamknąłeś, może zostać ponownie wykorzystany do tego „czegoś innego”. A teraz zgadnij, co się stanie, jeśli program będzie kontynuował, myśląc, że działa na pliku (którego uchwyt został zamknięty), podczas gdy w rzeczywistości uchwyt pliku wskazuje teraz na coś innego.

zobacz post Raymonda Chena na ten temat

Załóżmy, że usługa indeksu wyszukiwania ma otwarty plik do indeksowania, ale utknął tymczasowo i chcesz go usunąć, więc (nierozsądnie) wymuś zamknięcie dojścia. Usługa indeksu wyszukiwania otwiera swój plik dziennika w celu zarejestrowania niektórych informacji, a uchwyt do usuniętego pliku jest przetwarzany ponownie jako uchwyt do pliku dziennika. Operacja zablokowania w końcu się kończy, a usługa indeksu wyszukiwania w końcu zaczyna zamykać uchwyt, który miał otwarty, ale ostatecznie nieświadomie zamyka uchwyt pliku dziennika.

Usługa indeksu wyszukiwania otwiera inny plik, powiedzmy plik konfiguracyjny do zapisu, aby mógł zaktualizować jakiś trwały stan. Uchwyt pliku dziennika jest przetwarzany ponownie jako uchwyt pliku konfiguracji. Usługa indeksu wyszukiwania chce zapisać pewne informacje, więc zapisuje w pliku dziennika. Niestety uchwyt pliku dziennika został zamknięty, a uchwyt ponownie wykorzystany do pliku konfiguracyjnego. Zarejestrowane informacje trafiają do pliku konfiguracyjnego, powodując jego uszkodzenie.

Tymczasem inny uchwyt, który wymusiłeś zamknięty, został ponownie użyty jako uchwyt mutex, który służy do zapobiegania uszkodzeniom danych. Gdy oryginalny uchwyt pliku jest zamknięty, uchwyt mutexu jest zamknięty, a zabezpieczenia przed uszkodzeniem danych są tracone. Im dłużej usługa działa, tym bardziej skorumpowane stają się jej indeksy. W końcu ktoś zauważa, że ​​indeks zwraca nieprawidłowe wyniki. Podczas próby ponownego uruchomienia usługi nie powiedzie się, ponieważ pliki konfiguracyjne zostały uszkodzone.

Zgłoś problem firmie, która świadczy usługę indeksu wyszukiwania, a oni ustalą, że indeks został uszkodzony, plik dziennika w tajemniczy sposób przestał rejestrować, a plik konfiguracyjny został zastąpiony śmieciami. Niektórym słabym technikom powierzono beznadziejne zadanie dowiedzenia się, dlaczego usługa psuje indeksy i pliki konfiguracyjne, nieświadoma, że ​​przyczyną uszkodzenia jest wymuszenie zamknięcia uchwytu.

W przeszłości korzystałem z Handle, aby znaleźć takie procesy.

Lockhunter ( http://lockhunter.com/ ) działa w systemach 32- i 64-bitowych.

Who Lock Me działa dobrze i sprawia, że ​​ludzie bawią się tym imieniem!

Aby to wyjaśnić, jest to bardziej prawdopodobne, że aplikacje innych firm źle wykorzystują wywołanie API CreateFile API, niż w jakimkolwiek systemie Windows. Być może jest to konsekwencja projektu CreateFile, ale zrobione jest już zrobione i nie możemy wrócić.

Zasadniczo podczas otwierania pliku w programie systemu Windows można określić flagę, która umożliwia wspólny dostęp. Jeśli nie określisz flagi, program uzyska wyłączny dostęp do pliku.

Otóż, jeśli Explorer wydaje się tutaj winowajcą, być może jest to na pozór i że prawdziwy winowajcą jest coś, co instaluje rozszerzenie powłoki, które otwiera wszystkie pliki w folderze na własne potrzeby, ale jest też zbyt gung-ho, robiąc to, albo to nie oczyszcza się odpowiednio po sobie. Symantec AV to coś, co widziałem, robiąc to wcześniej, i nie byłbym zaskoczony, gdyby inne programy AV również były winne. Wtyczki kontroli źródła mogą być również winne.

Tak naprawdę nie jest to odpowiedź, ale tylko kilka porad, by nie zawsze obwiniać Windows za coś, co może być źle napisanym programem innej firmy (coś, co może się zdarzyć w każdym innym systemie operacyjnym z niejawnym blokowaniem plików, ale każdy system operacyjny oparty na Uniksie ma wspólny dostęp przez domyślna).

Na zdalnym serwerze, gdy sprawdzasz udział sieciowy, coś tak prostego jak konsola Zarządzanie komputerem może wyświetlić te informacje i zamknąć plik.

Apropos Explorer trzyma plik otwarty: „Gdy dzieje się tak w pliku, który musisz usunąć, możesz wymusić zamknięcie uchwytu lub zrestartować komputer”.

Możesz po prostu zakończyć Eksploratora.

Jeśli jest to jednorazowa sprawa (Explorer zwykle nie utrzymuje tego pliku w pozycji otwartej), domyślam się, że wylogowanie i ponowne zalogowanie załatwi sprawę.

W przeciwnym razie zabij proces Eksploratora pulpitu i rób, co chcesz, gdy go nie będzie. Najpierw uruchom kopię pliku cmd.exe (potrzebujesz interfejsu użytkownika, aby wykonać zamierzone czyszczenie). Upewnij się, że nie działają żadne Eksploratory inne niż stacjonarne. Następnie zabij ostatniego Eksploratora, np. Menedżerem zadań. Rób, co chcesz w wierszu polecenia. Na koniec uruchom Eksploratora z wiersza polecenia, a stanie się pulpitem.

Sądzę, że może być trochę nieprzyjemności, jeśli niektóre programy systray nie mogą poradzić sobie z ponownym uruchomieniem powłoki.

Pliki mogą być blokowane przez lokalne procesy ( odblokowanie to narzędzie do użycia) i przez dostęp do plików, który przychodzi poprzez udziały.

W systemie Windows jest wbudowana funkcja, która pokazuje, jakie pliki na komputerze lokalnym są otwierane / blokowane przez komputer zdalny (który ma plik otwarty przez udział plików):

* Select "Manage Computer" (Open "Computer Management")
* click "Shared Folders"
* choose "Open Files"

Tam możesz nawet zamknąć plik na siłę.

Istnieje również widok Otwartych plików NirSoft .

Dzięki Process Hacker możesz łatwo określić, które procesy przechowują twoje pliki:

Powyższe wyżej ocenione odpowiedzi dotyczą sytuacji, w których proces programu trzyma uchwyt pliku otwarty, co (na szczęście) jest przez większość czasu - jednak w niektórych przypadkach (jak ma to miejsce obecnie w tym systemie) sam system trzyma uchwyt pliku otwarty.

Możesz zidentyfikować tę sytuację, postępując zgodnie z instrukcjami, aby znaleźć proces przechowywania dojścia do pliku za pomocą eksploratora procesów powyżej i zauważając, że nazwa procesu jest wymieniona jako „system”, lub postępując zgodnie z instrukcjami za pomocą monitora zasobów i zauważając, że nie jest wyświetlany żaden obraz otwieranie uchwytu pliku na zainteresowanym pliku (chociaż oczywiście coś działa, ponieważ nie można edytować / usunąć pliku itp.).

Jeśli tak się stanie, twoją opcją (o ile mi wiadomo) jest ponowne uruchomienie - lub zapomnienie o zrobieniu czegokolwiek z tym plikiem.

Jakiś czas temu zostałem włączony do Exteneded Task Managera przez blog Jeremy Zawodny, i jest świetny do śledzenia dalszych informacji o procesach. +1 dla Process Explorer, jak wyżej, szczególnie w przypadku zabijania procesów, których nie kończy standardowy menedżer zadań.

Jest narzędzie FILEMON i pokazuje otwarte pliki i uchwyty. Trudno jest nadążyć za wyświetlaczem, jeśli oglądasz go na żywo, robi to tak szybko. Możesz jednak zatrzymać wyświetlanie na żywo i obserwować wszystkie operacje otwierania / zapisywania plików. Teraz jest własnością Microsoft, ale pierwotnie Sysinternals