使用 ProcessMonitor 找到进程所操作的文件的路径
很多系统问题都是可以修的,不需要重装系统,但是最近我还是重装了。发现之前正在玩的一款游戏的存档没有了……因为我原有系统的数据并没有删除,所以我还是能找回原来的游戏存档的。但是,我怎么知道这款游戏将存档放在了那个路径下呢?搜索当然是好方法,不过我喜欢玩的游戏大多是冷门游戏,有些搜不到。于是我就用 Process Monitor 找到了存档所在,恢复了我的游戏进度。
本文介绍如何使用 ProcessMonitor 找出进程创建和修改的文件路径。
本文内容
- 下载 Process Monitor
- 打开 Process Monitor
- 设置过滤规则
- 分析记录
下载 Process Monitor
Process Monitor 是微软极品工具箱的一部分,你可以在此页面下载:
- Process Monitor - Windows Sysinternals - Microsoft Docs
打开 Process Monitor
当你一开始打开 Process Monitor 的时候,列表中会立刻刷出大量的进程的操作记录。这么多的记录会让我们找到目标进程操作的文件有些吃力,于是我们需要设置规则。
Process Monitor 的工具栏按钮并不多,而且我们这一次的目标只会用到其中的两个:
- 清除列表(将已经记录的所有数据清空,便于聚焦到我们最关心的数据中)
- 设置过滤器(防止大量无关的进程操作进入列表中干扰我们的查找)
设置过滤规则
我启动了我想要玩的游戏,在任务管理器中发现它的进程名称是 RIME.exe。呃……如果你也想玩,给你个链接:
- RiME - Explore the beautiful yet rugged world of RiME
点击设置过滤规则按钮,可以看到下面的界面:
可以选定 某个名词 与另一个字符串 进行某种操作 之后 引入 (Include) 或 排除 (Exclude)。
我希望找到 RIME 这款游戏的游戏存档位置,所以我需要进入游戏,玩到第一个会存档的地方之后观察监视的操作记录。
所以我希望的过滤器规则是:
- 将所有不是 RIME.exe 进程的记录全部排除;
- 将不是文件操作的记录全部排除;
- 将读文件的记录排除(这样剩下的只会是写文件,毕竟游戏读文件很频繁的)。
于是我设置了这些规则:
[ProcessName] is [RIME.exe] then [Exclude]
[Operation] is [RegOpenKey] then [Exclude]
[Operation] is [RegCloseKey] then [Exclude]
[Operation] is [RegQueryKey] then [Exclude]
[Operation] is [RegQueryValue] then [Exclude]
[Operation] is [RegEnumKey] then [Exclude]
[Operation] is [RegSetInfoKey] then [Exclude]
[Operation] is [ReadFile] then [Exclude]
这样,剩下的记录将主要是文件写入以及一些不常见的操作了。
分析记录
现在,我在游戏里面玩到了第一个存档点,终于在 Process Monitor 的进程列表中看到了创建文件和写入文件相关的操作了。
通过观察 Path 的值,我可以知道 RIME 游戏的存档放在了 %LocalAppData%\SirenGame 文件夹下。
于是我关掉 RIME 游戏,将原来系统中的此文件夹覆盖到新系统中的此文件夹之后,再次打开游戏,我恢复了我的全部游戏存档了。
我的博客会首发于 https://blog.walterlv.com/,而 CSDN 会从其中精选发布,但是一旦发布了就很少更新。
如果在博客看到有任何不懂的内容,欢迎交流。我搭建了 dotnet 职业技术学院 欢迎大家加入。
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。欢迎转载、使用、重新发布,但务必保留文章署名吕毅(包含链接:https://walterlv.blog.csdn.net/),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。如有任何疑问,请与我联系。