如何找出创立某个文件的进程？

可能办得到么？请求老人的指教。。。m(-_-)m

你是在说日志文件吗？

lpk劫持或者全局注入,hook掉 CreateFile. 这是ring3层的方法

所谓hook就是劫持远程进程api 你都已经将代码注入目标进程了 其他的就是和操作自己进程一样 （获取自己进程的进程名 会不）

1：若是B进程一直锁定A文件的话，
用unlocker软件可以查看是哪个进程锁定的。。
若是想了解其技术实现的话，可以百度一下unlocker 原理 ，他使用驱动来查找占用锁定文件的进程。
2：若是没有一直锁定，只是创建然后关闭，
可以用procmon （或者filemon）来监视系统启动。。
若是技术实现的话，这个要仔细考虑一下，hook CreateFile是一个，但是需要你的进程先启动，然后DLL注入。或者要写驱动来hook CreateFile