查看每个程序访问的文件

7在Windows上，你可以使用一个名为Process Monitor的应用程序，简称为ProcMon。它可以捕获所有文件和注册表的访问情况，不仅仅是"当前"状态，而是每个操作都会被记录下来。

这种类型的工具非常有用，因为许多文件会被快速地打开-读取-关闭，而不是长时间保持打开状态。

粗略来说，Linux 中与 ProcMon 类似的工具是 strace。要查看所有与文件相关的系统调用：

strace -e file /bin/chmod a+w test.txt

其他类似的工具有perf trace和ltrace。BSD系统中有ktruss，我想是这样的。

通过bpftrace和SystemTapstap可以进行高度灵活的系统跟踪（它们都类似于Solaris的dtrace）。不过学习它们需要一些时间。相关。

Linux的audit子系统可以使用auditctl来跟踪对特定文件的操作，无论是哪个进程执行的。例如，您可以查看谁在访问您的~/.ssh/id_rsa私钥。

（同样，像AppArmor这样的LSM可以在“抱怨”或“宽容”模式下运行，它们只记录将被拒绝的操作，但实际上并不拒绝它们。）

fanotify子系统可用于获取系统范围内正在访问的所有文件的全局信息流，例如使用fatrace工具。（它类似于每个目录的inotify；inotifywait -rmq ~/foo将递归监视该目录。）

- user1686回答链接3我喜欢 OpenedFilesView 因为我年纪大了。还可以试试 Process Explorer 和资源监视器 (resmon)。

使用 Windows+R 打开运行框。输入 resmon，然后按下回车键。

在 *nix 上我会用 lsof。

- Gantendo21谢谢！我忘记了lsof - 我会在阅读完这个答案后添加它。我刚刚发现了Windows上的Handle，显然这就是Process Explorer构建其图形界面的工具。通常我更喜欢命令行解决方案，所以我觉得也可以加上这个。 - pigeonburger@pigeonburger 啊，说得对。我忘记了 Handle。Russinovich 的软件总是很好的。 - Gantendo回答链接