Kiedy uruchamiam Process Monitor , widzę ReadFile
żądania wysłane do C:\$Directory
.
Co to dokładnie znaczy?
Aktualizacja:
Rozumiem również $MapAttributeValue
, co również wygląda nieznanie.
Kiedy uruchamiam Process Monitor , widzę ReadFile
żądania wysłane do C:\$Directory
.
Co to dokładnie znaczy?
Rozumiem również $MapAttributeValue
, co również wygląda nieznanie.
Odpowiedzi:
Aktualizacja: dalej badałem ten problem (ponieważ zauważyłem to samo zachowanie na własnym komputerze i martwiłem się, że jest to jakiś rodzaj złośliwego oprogramowania), a teraz uważam, że moja pierwotna odpowiedź była w rzeczywistości nieprawidłowa. Oto, co znalazłem teraz:
IoPageRead()
, funkcja jądra, która odczytuje strony z pliku stronicowania do pamięci.Na podstawie tych badań mocno wierzę, że ten „odczyt pliku” jest pewnego rodzaju artefaktem Monitora Procesu, a prawdziwy odczyt odbywa się w pliku stronicowania. Nie mam pojęcia, dlaczego ProcMon podaje ścieżkę jako katalog C: \ $.
Nie sądzę, że ten katalog C: \ $ jest prawdziwym metaplikiem NTFS . Nie sądzę, że może to być nielegalna aktywność (wirus lub inne złośliwe oprogramowanie).
$ Directory i $ MapAttributeValue to najprawdopodobniej nazwy kodowe obszarów systemowych na dysku NTFS , a odniesienia te pochodzą z programów otwierających lub tworzących pliki.
Te nazwy prawdopodobnie dotyczą Metafiles , zdefiniowanych przez wikipedia jako:
NTFS zawiera kilka plików, które definiują i organizują system plików. Pod każdym względem większość tych plików ma strukturę podobną do każdego innego pliku użytkownika (najbardziej osobliwy jest $ Volume), ale nie są one bezpośrednio interesujące dla klientów systemu plików. Te metapliki definiują pliki, wykonują kopię zapasową krytycznych danych systemu plików, zmieniają bufor systemu plików, zarządzają przydziałem wolnego miejsca, spełniają oczekiwania systemu BIOS, śledzą nieprawidłowe jednostki alokacji oraz przechowują informacje o bezpieczeństwie i wykorzystaniu miejsca na dysku. Cała zawartość znajduje się w nienazwanym strumieniu danych, chyba że zaznaczono inaczej.
$ Directory to najprawdopodobniej główna tabela plików (MFT), która jest katalogiem dla wszystkich plików i folderów, w których przechowywane są jako metadane nazwa pliku, data utworzenia, uprawnienia dostępu (przy użyciu list kontroli dostępu) i rozmiar. Każdy program, który otwiera lub tworzy plik lub folder, uzyskuje dostęp do tego obszaru dysku.
$ MapAttributeValue to najprawdopodobniej obszar Listy atrybutów , opisany jako:
Dla każdego pliku (lub katalogu) opisanego w rekordzie MFT istnieje liniowe repozytorium deskryptorów strumienia (zwanych także atrybutami), spakowane razem w jeden lub więcej rekordów MFT (zawierających tak zwaną listę atrybutów), z dodatkowym dopełnieniem do wypełnienia ustalonego Rozmiar 1 KB każdego rekordu MFT i to w pełni opisuje efektywne strumienie powiązane z tym plikiem.
$Directory
to to samo co $MFT
? Ponadto listy atrybutów należą do poszczególnych rekordów plików i są przechowywane w poszczególnych rekordach; nie są to pliki globalne przechowywane w katalogu głównym dysku ...
\$MFT
. Na dysku nie ma metapliku ani innej lokalizacji \$Directory
. Nie rozumiem o czym mówisz.
C:\$MFT
Jednak widziałem tam również wiele razy. Czy mówisz, że oba odnoszą się do tej samej rzeczy? Nie rozumiem, dlaczego mieliby tak dobrze ...
$
Reprezentuje ukryty lub administracyjnego systemu / folder / plik. wygląda jak$recycle.bin
folder.