C: \ $ Dizini nedir?

Process Monitor'ü çalıştırdığımda , ReadFilegönderilen istekleri görüyorum C:\$Directory.

Bu tam olarak ne anlama geliyor?

Güncelleme:

Ben de görüyorum $MapAttributeValue, hangisi de yabancı görünüyor.

Güncelleme: Bu sorunu daha fazla araştırdım (aynı davranışı kendi bilgisayarımda fark ettiğimden ve bunun bir tür kötü amaçlı yazılım olduğundan endişelendiğimden) ve şimdi orijinal cevabımın gerçekten yanlış olduğuna inanıyorum. İşte şimdi bulduğum:

1. Birkaç farklı süreç, bu dosyadan ve farklı ofsetlerden, ancak aynı uzunlukta okunur: 4K (tam olarak bir bellek sayfası).
2. ReadFile işlemleri var, ancak dosyanın açılması çok az mantıklı.
3. Yığın izine baktığımda, tüm isteklerin izlemede bir sayfa hatası içerdiğini görüyorum, örneğin bu dosya içeride IoPageRead(), sayfaları disk belleği dosyasından belleğe okuyan çekirdek işlevi.
4. Bu okumalar sistemimdeki C: \ $ Dizininde ve V: \ $ Dizininde, disk belleği dosyalarını tutan iki sürücüde ve başka hiçbir yerde gerçekleşmez.

Bu araştırmaya dayanarak, bu "dosya okuma" nın bir tür İşlem Monitörü artefaktı olduğuna inanıyorum ve gerçek okuma disk belleği dosyasında gerçekleşiyor. ProcMon yolu C: \ $ dizin olarak listeler neden hiçbir fikrim yok.

Artık bu C: \ $ Dizininin gerçek bir NTFS meta dosyası olduğunu düşünmüyorum . Şimdi bunun gayri meşru bir etkinlik (virüs veya diğer kötü amaçlı yazılımlar) olabileceğini düşünmüyorum.

$ Directory ve $ MapAttributeValue, büyük olasılıkla NTFS diskindeki sistem alanları için kod adlarıdır ve bu başvurular, dosyaları açan veya oluşturan programlardan gelir.

Bu adlar muhtemelen wikipedia tarafından tanımlanan Metafiles ile ilgilidir :

NTFS, dosya sistemini tanımlayan ve düzenleyen birkaç dosya içerir. Her bakımdan, bu dosyaların çoğu diğer kullanıcı dosyaları gibi yapılandırılmıştır ($ Volume en tuhaftır), ancak dosya sistemi istemcilerini doğrudan ilgilendirmez. Bu meta dosyalar dosyaları tanımlar, kritik dosya sistemi verilerini yedekler, arabellek dosya sistemi değişikliklerini yönetir, boş alan tahsisini yönetir, BIOS beklentilerini karşılar, bozuk tahsis birimlerini izler ve güvenlik ve disk alanı kullanım bilgilerini depolar. Aksi belirtilmedikçe tüm içerik adsız bir veri akışındadır.

$ Dizin, büyük olasılıkla dosya adı, oluşturma tarihi, erişim izinleri (erişim denetim listelerini kullanarak) ve boyut meta verileri olarak depolanan tüm dosya ve klasörlerin dizini olan Ana Dosya Tablosudur (MFT). Bir dosya veya klasör açan veya oluşturan herhangi bir program diskin bu alanına erişir.

$ MapAttributeValue, büyük olasılıkla şu şekilde tanımlanan Özellik listeleri alanıdır:

MFT kaydında açıklanan her dosya (veya dizin) için, bir veya daha fazla MFT kaydında (öznitelikler listesini içeren) bir araya getirilmiş sabit bir akış tanımlayıcıları (öznitelikler olarak da adlandırılır) içeren bir sabit depo vardır. Her MFT kaydının 1 KB büyüklüğünde olup, bu dosyayla ilişkili etkin akışları tam olarak açıklar.