Я попробовал Sysinternals - Process Monitor, но нет возможности динамически присоединять фильтры для дочерних процессов.
Как отслеживать все файлы, открытые процессом и его дочерними процессами?
Ответ 1
Чтобы связать это с программированием: вы можете использовать Import Address Table Hooking и выполнить свою собственную реализацию: -)
Если вы ищете инструмент, я считаю, что кто-то уже сделал это для вас: StraceNT: трассировщик системных вызовов для Windows.
Веб-сайт утверждает, что это клон strace и strace поддерживает отслеживание дочерних процессов (я сам не использовал этот инструмент, поэтому не уверен в заявке).
(strace - это утилита, доступная в средах Linux, которая позволяет отслеживать системные вызовы, я полагаю, это объясняет имя straceNT).
Надеюсь, что это поможет!
Ответ 2
Попробуйте OpenedFilesView из Nirsoft. http://www.nirsoft.net/utils/opened_files_view.html
Загрузка находится в нижней части страницы. (На самом деле трудно найти)
Ответ 3
Попробуйте Process Monitor. http://technet.microsoft.com/en-in/sysinternals/bb896645.aspx от Microsoft.