Co to jest katalog C: \ $?

Kiedy uruchamiam Process Monitor , widzę ReadFileżądania wysłane do C:\$Directory.

Co to dokładnie znaczy?

Aktualizacja:

Rozumiem również $MapAttributeValue, co również wygląda nieznanie.

Aktualizacja: dalej badałem ten problem (ponieważ zauważyłem to samo zachowanie na własnym komputerze i martwiłem się, że jest to jakiś rodzaj złośliwego oprogramowania), a teraz uważam, że moja pierwotna odpowiedź była w rzeczywistości nieprawidłowa. Oto, co znalazłem teraz:

1. Kilka różnych procesów odczytanych z tego pliku i z różnych przesunięć, ale o tej samej długości: 4K (dokładnie jedna strona pamięci).
2. Istnieją operacje ReadFile, ale brak otwierania pliku, co nie ma większego sensu.
3. Patrząc na ślad stosu, widzę, że wszystkie żądania zawierają błąd strony w śledzeniu, np. Ten plik jest w środku IoPageRead(), funkcja jądra, która odczytuje strony z pliku stronicowania do pamięci.
4. Te odczyty mają miejsce w katalogu C: \ $ Directory i V: \ $ Directory w moim systemie, na dwóch dyskach, na których są przechowywane pliki stronicowania, i nigdzie indziej.

Na podstawie tych badań mocno wierzę, że ten „odczyt pliku” jest pewnego rodzaju artefaktem Monitora Procesu, a prawdziwy odczyt odbywa się w pliku stronicowania. Nie mam pojęcia, dlaczego ProcMon podaje ścieżkę jako katalog C: \ $.

Nie sądzę, że ten katalog C: \ $ jest prawdziwym metaplikiem NTFS . Nie sądzę, że może to być nielegalna aktywność (wirus lub inne złośliwe oprogramowanie).

$ Directory i $ MapAttributeValue to najprawdopodobniej nazwy kodowe obszarów systemowych na dysku NTFS , a odniesienia te pochodzą z programów otwierających lub tworzących pliki.

Te nazwy prawdopodobnie dotyczą Metafiles , zdefiniowanych przez wikipedia jako:

NTFS zawiera kilka plików, które definiują i organizują system plików. Pod każdym względem większość tych plików ma strukturę podobną do każdego innego pliku użytkownika (najbardziej osobliwy jest $ Volume), ale nie są one bezpośrednio interesujące dla klientów systemu plików. Te metapliki definiują pliki, wykonują kopię zapasową krytycznych danych systemu plików, zmieniają bufor systemu plików, zarządzają przydziałem wolnego miejsca, spełniają oczekiwania systemu BIOS, śledzą nieprawidłowe jednostki alokacji oraz przechowują informacje o bezpieczeństwie i wykorzystaniu miejsca na dysku. Cała zawartość znajduje się w nienazwanym strumieniu danych, chyba że zaznaczono inaczej.

$ Directory to najprawdopodobniej główna tabela plików (MFT), która jest katalogiem dla wszystkich plików i folderów, w których przechowywane są jako metadane nazwa pliku, data utworzenia, uprawnienia dostępu (przy użyciu list kontroli dostępu) i rozmiar. Każdy program, który otwiera lub tworzy plik lub folder, uzyskuje dostęp do tego obszaru dysku.

$ MapAttributeValue to najprawdopodobniej obszar Listy atrybutów , opisany jako:

Dla każdego pliku (lub katalogu) opisanego w rekordzie MFT istnieje liniowe repozytorium deskryptorów strumienia (zwanych także atrybutami), spakowane razem w jeden lub więcej rekordów MFT (zawierających tak zwaną listę atrybutów), z dodatkowym dopełnieniem do wypełnienia ustalonego Rozmiar 1 KB każdego rekordu MFT i to w pełni opisuje efektywne strumienie powiązane z tym plikiem.