Process Monitor'ü çalıştırdığımda , ReadFile
gönderilen istekleri görüyorum C:\$Directory
.
Bu tam olarak ne anlama geliyor?
Güncelleme:
Ben de görüyorum $MapAttributeValue
, hangisi de yabancı görünüyor.
Process Monitor'ü çalıştırdığımda , ReadFile
gönderilen istekleri görüyorum C:\$Directory
.
Bu tam olarak ne anlama geliyor?
Ben de görüyorum $MapAttributeValue
, hangisi de yabancı görünüyor.
Yanıtlar:
Güncelleme: Bu sorunu daha fazla araştırdım (aynı davranışı kendi bilgisayarımda fark ettiğimden ve bunun bir tür kötü amaçlı yazılım olduğundan endişelendiğimden) ve şimdi orijinal cevabımın gerçekten yanlış olduğuna inanıyorum. İşte şimdi bulduğum:
IoPageRead()
, sayfaları disk belleği dosyasından belleğe okuyan çekirdek işlevi.Bu araştırmaya dayanarak, bu "dosya okuma" nın bir tür İşlem Monitörü artefaktı olduğuna inanıyorum ve gerçek okuma disk belleği dosyasında gerçekleşiyor. ProcMon yolu C: \ $ dizin olarak listeler neden hiçbir fikrim yok.
Artık bu C: \ $ Dizininin gerçek bir NTFS meta dosyası olduğunu düşünmüyorum . Şimdi bunun gayri meşru bir etkinlik (virüs veya diğer kötü amaçlı yazılımlar) olabileceğini düşünmüyorum.
$ Directory ve $ MapAttributeValue, büyük olasılıkla NTFS diskindeki sistem alanları için kod adlarıdır ve bu başvurular, dosyaları açan veya oluşturan programlardan gelir.
Bu adlar muhtemelen wikipedia tarafından tanımlanan Metafiles ile ilgilidir :
NTFS, dosya sistemini tanımlayan ve düzenleyen birkaç dosya içerir. Her bakımdan, bu dosyaların çoğu diğer kullanıcı dosyaları gibi yapılandırılmıştır ($ Volume en tuhaftır), ancak dosya sistemi istemcilerini doğrudan ilgilendirmez. Bu meta dosyalar dosyaları tanımlar, kritik dosya sistemi verilerini yedekler, arabellek dosya sistemi değişikliklerini yönetir, boş alan tahsisini yönetir, BIOS beklentilerini karşılar, bozuk tahsis birimlerini izler ve güvenlik ve disk alanı kullanım bilgilerini depolar. Aksi belirtilmedikçe tüm içerik adsız bir veri akışındadır.
$ Dizin, büyük olasılıkla dosya adı, oluşturma tarihi, erişim izinleri (erişim denetim listelerini kullanarak) ve boyut meta verileri olarak depolanan tüm dosya ve klasörlerin dizini olan Ana Dosya Tablosudur (MFT). Bir dosya veya klasör açan veya oluşturan herhangi bir program diskin bu alanına erişir.
$ MapAttributeValue, büyük olasılıkla şu şekilde tanımlanan Özellik listeleri alanıdır:
MFT kaydında açıklanan her dosya (veya dizin) için, bir veya daha fazla MFT kaydında (öznitelikler listesini içeren) bir araya getirilmiş sabit bir akış tanımlayıcıları (öznitelikler olarak da adlandırılır) içeren bir sabit depo vardır. Her MFT kaydının 1 KB büyüklüğünde olup, bu dosyayla ilişkili etkin akışları tam olarak açıklar.
$Directory
, aynı mı diyorsun $MFT
? Ayrıca, öznitelik listeleri tek tek dosya kayıtlarına aittir ve tek tek kayıtların içinde saklanır; diskin kökünde depolanan global dosyalar değiller ...
\$MFT
. Disk üzerinde meta dosyası veya başka bir konum yok \$Directory
. Ne hakkında konuştuğunu anlamıyorum.
C:\$MFT
orada listelenen birçok kez gördüm . Her ikisinin de aynı şeyi ifade ettiğini mi söylüyorsunuz? Neden yaptıklarını anlamıyorum ama tamam ...
$
Bir gizli veya idari / sistem klasörü / dosyayı temsil eder.$recycle.bin
klasör gibi görünüyor .