Может ли Windows сказать мне, что использует мой USB-накопитель?

Будучи хорошим гражданином, я щелкнул левую кнопку мыши на значке “Безопасное извлечение оборудования” на панели задач и выбрал свой USB-накопитель для демонтажа.

Затем я получаю сообщение:

Windows не может остановить ваш универсальный том, так как он используется. Закройте любые программы или окна, которые могут использовать это устройство, затем попробуйте позже.

Конечно, будучи операционной системой, она знает точно, какие приложения используют мое устройство. Так почему она не может сказать мне?

Или есть способ, с помощью которого я могу это выяснить?

Вы можете использовать Sysinternals Process Explorer, чтобы найти дескриптор для любых открытых файлов. Просто выберите меню Find и выберите Find Handle or DLL. В открывшемся диалоговом окне введите букву диска в поле поиска. Результаты поиска должны показать все открытые файлы с диска и какой процесс их имеет открытыми.

Быстрое решение: Установите LockHunter, затем щелкните правой кнопкой мыши на файле/папке/диске и выберите “Что блокирует это …?”

Нативный метод: Windows (по крайней мере, 10, насколько я знаю) создает запись в журнале событий, когда вы пытаетесь извлечь съемный диск и не можете, потому что процесс заблокировал его. Два идентификатора событий 225 покажут идентификатор процесса и имя процесса, ответственного за блокировку.

Пошагово:

1. Запустите просмотр событий

2. Откройте “Журналы Windows”, затем “Система”

3. Щелкните правой кнопкой мыши на “Система” и выберите “Фильтровать текущий журнал”

4. В открывшемся диалоговом окне введите “225” (без кавычек) в поле “Все идентификаторы событий”

5. Вы увидите все события, связанные с невозможностью извлечения, потому что процесс блокировал диск.

6. Посмотрите на временные метки всех этих записей и выясните, какие из них относятся к фактическому времени, когда вы пытались извлечь диск.

7. Примите соответствующие меры. Завершение задачи корректным образом (закрытие программы, которая имеет блокировку) в большинстве случаев нормально. Остановка службы поиска Windows также допустима. Остановка сканирования антивируса должна быть допустима (если вы не подозреваете, что у вас есть вирусы). Заходить в диспетчер задач и завершать процесс может быть неуместно. Как с этим справляться, выходит за рамки этого вопроса.

8. (Сохранить вид…) в панели действий (в правом фрейме) вы можете “Сохранить фильтр в пользовательский вид…”, чтобы найти его в “Пользовательских представлениях” (в левом фрейме над “Журналами Windows”)

Идентификатор процесса:

Имя процесса:

8. Если у вас нет другой записи с именем процесса, системный процесс (идентификатор процесса 4) удерживает ваш диск. Чтобы обойти это, вам придется перейти в управление дисками и отключить диск, который вы хотите извлечь. Если файл находится на диске загрузки, вы не можете отключить его. В этом случае см. примечание ниже:

ОБНОВЛЕНИЕ 2018: Я видел приложения, такие как WhatsApp Desktop, удерживающее дескрипторы на Chrome Canary через системный процесс. Поскольку вы не можете извлечь загрузочный диск (из-за его использования), решением было использовать другую полезную утилиту Sysinternals, называемую Handle. После того как вы закроете программу, у которой есть заблокированный файл, запустите Handle и выполните (например) handle64 "Chrome SxS\Application\chrome.exe", чтобы проверить, остались ли дескрипторы на файле, который имеет блокировку PID 4. Путем проб и ошибок закройте каждую запущенную программу, пока не останется больше дескрипторов на заблокированном файле.

ОБНОВЛЕНИЕ 2022: Полезная утилита PowerToys от Microsoft теперь включает расширение для проверки, какой процесс блокирует файл/папку. Она называется File Locksmith и является бесплатной загрузкой. Хотя вы можете настроить, какую функцию PowerToy вы хотите включить, если это единственная, которую вы будете использовать, это избыточно. Лучше использовать специализированный инструмент для этой задачи.

Платный вариант (также работает отлично)

Скачайте и запустите SafelyRemove, от тех же людей, которые сделали LockHunter. Я не уверен, почему они берут деньги за SafelyRemove, когда их бесплатный LockHunter уже справляется с задачей. Но это помогает вам извлечь диск, а если это не удается, показывает, какие процессы его блокируют:

Вы также можете использовать командную строку для запроса журнала Windows, с помощью wevtutil.exe (с тех пор как Windows 7), зная, что Windows Kernel-PnP использует идентификатор события 225, чтобы записать отказ системы (всегда имея идентификатор процесса 4) удалить или извлечь устройство USB\VID_####&PID_############ (где #’s обозначают шестнадцатеричные числа).

wevtutil qe System /q:"*[System[(EventID=225)]]" /c:5 /f:text /rd:true

• qe System : запрос событий из журналов системы
• /q : запрос с помощью XPath
• EventID=225 означает, что система отказалась от запроса на извлечение
• /c:5 : количество записей для извлечения (5 здесь)
• /f:text : формат (по умолчанию xml)
• /rd:true : обратный порядок (новейшие в первую очередь)

Я использую это в пакетном сценарии.

Утилиты PowerToys от Microsoft – File Locksmith

MS PowerToys теперь имеет удобную утилиту, которая вероятно работает в большем количестве случаев File Locksmith

После включения просто щелкните правой кнопкой мыши на диске в проводнике и выберите Что использует этот файл?

PowerShell в Windows 10

Вот быстрая команда PowerShell, чтобы запросить журнал событий и показать, какое приложение блокирует извлечение диска (работает у меня с Windows 10, вероятно, работает и с 7/8)

Get-EventLog -LogName System -after (Get-Date).AddHours(-1) | Where-Object {$_.EventID -eq 225} | Sort-Object TimeGenerated | Format-Table -Wrap

Вывод покажет все случаи за последний час, когда система не смогла извлечь дисковый привод. Столбец Message показывает процесс, который блокировал извлечение. В моем примере ниже, диспетчер задач действительно был виновен, и я смог извлечь диск после закрытия диспетчера задач.

PS C:\Users\Jonathan> Get-EventLog -LogName System -after (Get-Date).AddHours(-1) | \Where-Object {$_.EventID -eq 225} | Sort-Object TimeGenerated | Format-Table -Wrap

   Индекс Время          ТипЗаписи   Источник                 ИдентификаторЭкземпляра Сообщение
   ----- ----          ---------   ------                 ---------- -------
   14692 07 сен 10:50  Предупреждение     Microsoft-Windows-Ke          225 Приложение \Device\HarddiskVolume4\Windows\System32\Taskmgr.exe с идентификатором процесса 11972 остановило
                                   rnel-PnP                          удаление или извлечение для устройства USB\VID_0781&PID_5575\200445301013C111B1A0.
   14693 07 сен 10:50  Предупреждение     Microsoft-Windows-Ke          225 Приложение \Device\HarddiskVolume4\Windows\System32\Taskmgr.exe с идентификатором процесса 11972 остановило
                                   rnel-PnP                          удаление или извлечение для устройства USB\VID_0781&PID_5575\200445301013C111B1A0.

Вы можете запустить resmon.exe (через WIN+R), перейти на диск > Деятельность диска > Сортировка по файлу. Теперь вы можете видеть все файлы, к которым обращается система, и какие процессы обращаются к ним, упорядоченные по пути файла (который, кстати, начинается с буквы диска). Это может не сработать во всех случаях, но это простой подход.

Перезапуск компьютера, похоже, “освобождает” использование устройства. Также для более быстрого извлечения вы можете отключить кэширование Windows в разделе оборудования вашего устройства, иногда Windows будет тратить больше времени, чем ожидается, на сброс кэша на внешний диск и отобразит сообщение, что устройство используется (поскольку оно будет использоваться самой Windows)

Для меня (Windows 7).

1. Нажмите клавишу Windows

2. В “поиске программ и файлов” введите: diskmgmt.msc

3. В списке поиска найдите запись и щелкните правой кнопкой мыши. Выберите Запуск от имени администратора

4. Введите учетные данные системного администратора, чтобы запустить “Управление дисками” (если требуется)

5. Найдите USB-диск, который не извлекается в списке дисков

6. В левом панеле щелкните правой кнопкой мыши и выберите “Извлечь“

7. Дескрипторы “должны” закрыться. Вы всегда можете проверить это в Sysinternals‘ Process Explorer

   Примечание: Значок на панели задач “Безопасно извлечь оборудование и извлечь носитель” теперь не показывает USB-диск, только три точки

8. Физически извлеките диск

Если вы используете PowerShell Core (PowerShell 7), вы можете использовать следующее (ограничено 5 последними событиями для удобочитаемости):

Get-WinEvent -MaxEvents 5 -FilterHashtable @{LogName="System";Id=225} | Format-Table -Wrap

Это похоже на ответ Джона, но Get-EventLog является частью старого Win32 API и не поддерживается в PowerShell Core. Get-WinEvent автоматически сортирует хронологически (по убыванию), поэтому дополнительная сортировка не требуется.

Если вы откроете “Мой компьютер” и ваш диск не отображается под заголовками “Съемное хранилище”, то Windows, по какой-то причине, рассматривает его как фиксированный системный ресурс. Вам придется размонтировать любые разделы на диске.

Если это так, откройте “Управление компьютером”, затем перейдите в “Управление дисками”. Для каждого раздела на устройстве щелкните правой кнопкой мыши на разделе, выберите “Изменить буквы дисков и пути” и удалите любые буквы диска, назначенные этому разделу. После этого вы должны обнаружить, что функция “безопасного извлечения” работает, как вы и надеялись.

Я пробовал это, используя Windows 10.

Откройте Монитор ресурсов, либо найдя его в меню “Пуск” “Введите здесь для поиска”, либо через Диспетчер задач (щелкните правой кнопкой мыши на панели задач и затем нажмите “Диспетчер задач”, чтобы открыть его).

В Мониторе ресурсов столбец, названный image, используется для отображения имени процесса, а столбец, названный File, может использоваться для проверки, использует ли процесс ваш диск. Например, адрес файла будет F:/foo/bar.tmp, тогда если ваш подключенный USB-диск имеет букву диска F:, вы можете завершить этот процесс. Столбец, названный PID, показывает идентификатор процесса.

Чтобы завершить процесс: введите в CMD или Командной строке taskkill /F /PID pid_number

Хотя это не технически является ответом на поставленный вопрос, это, вероятно, решение фактического вопроса, с которым многие люди приходят сюда, учитывая голоса за этот комментарий: “Диспетчер задач Windows 10 также может предотвращать извлечение! Кто бы мог подумать. – Алекс Че”

Как в закрыть Диспетчер задач и попробовать снова извлечь USB-накопитель.

По крайней мере, это решило мою проблему и, вероятно, решило проблему как минимум еще 32 человек на момент написания этого.

У меня был USB-диск, который Windows сообщал как используемый…так же, как и у всех остальных здесь.

В Windows 10, Ctrl + Alt + Del открывает Диспетчер задач.

Найдите его, прокручивая – Проводник Windows. и выделите.

В правом нижнем углу есть красивенная дружелюбная кнопка под названием “Перезапустить процесс”

Дважды проверьте, чтобы “Проводник Windows” был единственным выделенным элементом.

Левой кнопкой мыши щелкните на дружелюбной кнопке “Перезапустить процесс”.

У меня был только один Проводник, а у других иногда их два. Просто обратите внимание, какой из них вернется. Попробуйте закрыть/извлечь USB-диск. У меня все получилось; закройте USB.

Если ваш диск не извлекается/закрывается, то, вероятно, это был другой Проводник. Попробуйте снова и перезапустите тот. Удачи.