C: \ $ Dizini nedir?


11

Process Monitor'ü çalıştırdığımda , ReadFilegönderilen istekleri görüyorum C:\$Directory.

Bu tam olarak ne anlama geliyor?


Güncelleme:

Ben de görüyorum $MapAttributeValue, hangisi de yabancı görünüyor.


$Bir gizli veya idari / sistem klasörü / dosyayı temsil eder. $recycle.binklasör gibi görünüyor .
αғsнιη

Yanıtlar:


5

Güncelleme: Bu sorunu daha fazla araştırdım (aynı davranışı kendi bilgisayarımda fark ettiğimden ve bunun bir tür kötü amaçlı yazılım olduğundan endişelendiğimden) ve şimdi orijinal cevabımın gerçekten yanlış olduğuna inanıyorum. İşte şimdi bulduğum:

  1. Birkaç farklı süreç, bu dosyadan ve farklı ofsetlerden, ancak aynı uzunlukta okunur: 4K (tam olarak bir bellek sayfası).
  2. ReadFile işlemleri var, ancak dosyanın açılması çok az mantıklı.
  3. Yığın izine baktığımda, tüm isteklerin izlemede bir sayfa hatası içerdiğini görüyorum, örneğin bu dosya içeride IoPageRead(), sayfaları disk belleği dosyasından belleğe okuyan çekirdek işlevi.
  4. Bu okumalar sistemimdeki C: \ $ Dizininde ve V: \ $ Dizininde, disk belleği dosyalarını tutan iki sürücüde ve başka hiçbir yerde gerçekleşmez.

Bu araştırmaya dayanarak, bu "dosya okuma" nın bir tür İşlem Monitörü artefaktı olduğuna inanıyorum ve gerçek okuma disk belleği dosyasında gerçekleşiyor. ProcMon yolu C: \ $ dizin olarak listeler neden hiçbir fikrim yok.

Artık bu C: \ $ Dizininin gerçek bir NTFS meta dosyası olduğunu düşünmüyorum . Şimdi bunun gayri meşru bir etkinlik (virüs veya diğer kötü amaçlı yazılımlar) olabileceğini düşünmüyorum.


2
# 3 veya # 2 olmadığından eminim. Yani muhtemelen 1 numara. Bana gerçekten bir şey söylemiyor ...
user541686

normalde bu explorer.exe'ye atanır. Yani, sanırım, # 2 veya # 3 değil.
Diskilla

Cevabımı tamamen değiştirdim, üzgünüm.
haimg

Bir ödül ekledim. Resmi / resmi olmayan dokümanlar veya başka herhangi bir bulgu varsa, bu harika olurdu. Bu şeyleri google için oldukça zor bir şey.
Stefano Borini

4

$ Directory ve $ MapAttributeValue, büyük olasılıkla NTFS diskindeki sistem alanları için kod adlarıdır ve bu başvurular, dosyaları açan veya oluşturan programlardan gelir.

Bu adlar muhtemelen wikipedia tarafından tanımlanan Metafiles ile ilgilidir :

NTFS, dosya sistemini tanımlayan ve düzenleyen birkaç dosya içerir. Her bakımdan, bu dosyaların çoğu diğer kullanıcı dosyaları gibi yapılandırılmıştır ($ Volume en tuhaftır), ancak dosya sistemi istemcilerini doğrudan ilgilendirmez. Bu meta dosyalar dosyaları tanımlar, kritik dosya sistemi verilerini yedekler, arabellek dosya sistemi değişikliklerini yönetir, boş alan tahsisini yönetir, BIOS beklentilerini karşılar, bozuk tahsis birimlerini izler ve güvenlik ve disk alanı kullanım bilgilerini depolar. Aksi belirtilmedikçe tüm içerik adsız bir veri akışındadır.

$ Dizin, büyük olasılıkla dosya adı, oluşturma tarihi, erişim izinleri (erişim denetim listelerini kullanarak) ve boyut meta verileri olarak depolanan tüm dosya ve klasörlerin dizini olan Ana Dosya Tablosudur (MFT). Bir dosya veya klasör açan veya oluşturan herhangi bir program diskin bu alanına erişir.

$ MapAttributeValue, büyük olasılıkla şu şekilde tanımlanan Özellik listeleri alanıdır:

MFT kaydında açıklanan her dosya (veya dizin) için, bir veya daha fazla MFT kaydında (öznitelikler listesini içeren) bir araya getirilmiş sabit bir akış tanımlayıcıları (öznitelikler olarak da adlandırılır) içeren bir sabit depo vardır. Her MFT kaydının 1 KB büyüklüğünde olup, bu dosyayla ilişkili etkin akışları tam olarak açıklar.


Anlamıyorum $Directory, aynı mı diyorsun $MFT? Ayrıca, öznitelik listeleri tek tek dosya kayıtlarına aittir ve tek tek kayıtların içinde saklanır; diskin kökünde depolanan global dosyalar değiller ...
user541686

Tamam benim ilk yorum hala ayakta olmasına rağmen ben de sildim (hala "tüm dosya ve klasörler için dizin MFT" gibi ifadelerle ne anlama geldiğini anlamıyorum.
user541686

1
@Mehrdad: Tüm dosya ve klasörlerin içinde tanımlandığını söylemeye çalışıyordum, bu nedenle bir program bir dosya açtığında veya oluşturduğunda, işletim sisteminin erişmesi gereken yer burasıdır.
harrymc

1
Hala yorumunu anlamıyorum. İçinde tanımlanan tüm dosya ve klasörleri içeren tek dosyadır \$MFT. Disk üzerinde meta dosyası veya başka bir konum yok \$Directory. Ne hakkında konuştuğunu anlamıyorum.
user541686

1
Ben de C:\$MFTorada listelenen birçok kez gördüm . Her ikisinin de aynı şeyi ifade ettiğini mi söylüyorsunuz? Neden yaptıklarını anlamıyorum ama tamam ...
user541686
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.