Pracuję nad przechwytywaniem procmonów próbujących przeanalizować problem i mam około czterdziestu wierszy, które wyglądają tak:
0.700867755 Explorer.EXE 10480 CreateFile \\.\.\ SUCCESS Desired Access: Generic Read, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened \\.\.\
0.700867755 Explorer.EXE 10480 FileSystemControl \\.\.\ SUCCESS Control: CSC_FSCTL_OPERATION_QUERY_HANDLE \\.\.\
0.700867755 Explorer.EXE 10480 FileSystemControl \\.\.\ SUCCESS Control: CSC_FSCTL_OPERATION_QUERY_HANDLE \\.\.\
0.700867755 Explorer.EXE 10480 CloseFile \\.\.\ SUCCESS \\.\.\
0.700867766 Explorer.EXE 10480 CreateFile \\.\.\ SUCCESS Desired Access: Generic Read, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened \\.\.\
0.700867766 Explorer.EXE 10480 FileSystemControl \\.\.\ SUCCESS Control: CSC_FSCTL_OPERATION_QUERY_HANDLE \\.\.\
0.700867766 Explorer.EXE 10480 FileSystemControl \\.\.\ SUCCESS Control: CSC_FSCTL_OPERATION_QUERY_HANDLE \\.\.\
0.700867766 Explorer.EXE 10480 CloseFile \\.\.\ SUCCESS \\.\.\
Co \\.\.\oznacza ścieżka? Wygląda jak ścieżka względna, ale nigdy wcześniej nie widziałem ścieżki względnej w danych wyjściowych Procmon.
\\.oznacza localhost, a\.` means the root dir for the filesystem. in linux and windows.` oznacza „bieżący”, czy to maszyna, czy katalog. podobnie..oznacza rodzic.