如何找出软件将文件下载到哪里？

Question

很多时候，在线安装程序会下载文件以便运行。我需要支持他们。有没有什么工具或东西可以找出文件的保存位置？

例子：

Answer 1

Sysinternals 进程监视器 (ProcMon)

Sysinternals 的 ProcMon 是完成此类任务的最佳工具，因为它提供了许多丰富的功能来捕获/跟踪进程正在/正在磁盘、网络和注册表上执行的操作。
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

让它在下载时运行几秒钟，然后停止捕获，对程序的主进程和子进程以及操作CreateFile和进行过滤WriteFile。
如果下载是由主进程本身完成的，则子进程可能不相关，但这取决于程序的设计方式。

一次包含主进程及其所有子进程的最简单方法是使用菜单中的Process Tree（键盘快捷键：）。只需找到主进程并右键单击即可。不幸的是，进程树没有搜索功能。CTRL + TToolsadd process and children to include filter

例子

Steam 游戏更新

注意：即使不是在线安装程序，也是类似的方法。

Adobe Acrobat Reader 在线安装程序

Windows资源监视器

另一种选择是 Windows 的内置资源监视器，用于查看磁盘上当前的写入操作，但没有对其进行广泛分析的功能。

只需搜索Resource Monitor或resmon打开它并切换到选项卡Disk。在第二个视图中，Disk Activity您可以对列进行Write (B/sec)降序排序，以查看最需要写入的进程和受影响的文件。

重要的提示

该列中指定的进程Image可能不是您要查找的进程。也可以是System或svchost。

示例 - Steam 游戏更新

一般的

请记住以下几点：

• 这些路径通常只是部分临时文件，并且可能会在其他地方组合成一个或多个“可用”文件（例如可执行文件、资产等）。
• 这些文件通常使用特殊方法进行压缩。
• 应用后可以立即删除（当安装程序/更新程序仍在进行中时）。
  如果它们被删除，您还需要一个文件系统观察器来实时备份它们。