Quando eseguo Process Monitor , vedo le ReadFile
richieste inviate a C:\$Directory
.
Cosa significa esattamente?
Aggiornare:
Vedo anche $MapAttributeValue
che sembra non avere familiarità.
Quando eseguo Process Monitor , vedo le ReadFile
richieste inviate a C:\$Directory
.
Cosa significa esattamente?
Vedo anche $MapAttributeValue
che sembra non avere familiarità.
Risposte:
Aggiornamento: ho studiato ulteriormente questo problema (poiché ho notato lo stesso comportamento sul mio computer ed ero preoccupato che si trattasse di un qualche tipo di malware), e ora credo che la mia risposta originale fosse in realtà errata. Ecco cosa ho trovato ora:
IoPageRead()
, funzione del kernel che legge le pagine dal file di paging in memoria.Sulla base di questa ricerca, credo fermamente che questo "file read" sia una sorta di artefatto di Process Monitor e che la lettura reale avvenga nel file di paging. Non ho idea del perché ProcMon elenchi il percorso come directory C: \ $.
Non penso ora che questa directory C: \ $ sia un vero metafile NTFS . Non penso ora che questa potrebbe essere un'attività illegittima (virus o altro malware).
$ Directory e $ MapAttributeValue sono probabilmente nomi in codice per aree di sistema sul disco NTFS e questi riferimenti provengono da programmi che aprono o creano file.
Questi nomi probabilmente appartengono a Metafile , definiti da Wikipedia come:
NTFS contiene diversi file che definiscono e organizzano il file system. Sotto tutti gli aspetti, la maggior parte di questi file sono strutturati come qualsiasi altro file utente ($ Volume è il più singolare), ma non sono di interesse diretto per i client del file system. Questi metafile definiscono i file, eseguono il backup dei dati critici del file system, modificano i buffer del file system, gestiscono l'allocazione dello spazio libero, soddisfano le aspettative del BIOS, tengono traccia delle unità di allocazione errate e memorizzano le informazioni sulla sicurezza e sull'utilizzo dello spazio su disco. Tutto il contenuto si trova in un flusso di dati senza nome, se non diversamente indicato.
$ Directory è molto probabilmente la Master File Table (MFT) che è la directory per tutti i file e le cartelle, dove sono memorizzati come metadati il nome del file, la data di creazione, le autorizzazioni di accesso (mediante l'uso di liste di controllo degli accessi) e le dimensioni. Qualsiasi programma che apre o crea un file o una cartella accede a quest'area del disco.
$ MapAttributeValue è molto probabilmente l' area degli elenchi di attributi , descritta come:
Per ogni file (o directory) descritto nel record MFT, esiste un repository lineare di descrittori di stream (anche denominati attributi), impacchettati in uno o più record MFT (contenenti il cosiddetto elenco di attributi), con imbottitura aggiuntiva per riempire il fixed 1 KB di dimensione per ogni record MFT e che descrive in modo completo i flussi effettivi associati a quel file.
$Directory
è lo stesso di $MFT
? Inoltre, gli elenchi di attributi appartengono a singoli record di file e sono memorizzati all'interno dei singoli record; non sono file globali archiviati nella radice del disco ...
\$MFT
. Non esiste metafile o altra posizione sul disco denominato \$Directory
. Non capisco di cosa stai parlando.
C:\$MFT
elencato anche lì un sacco di volte, però. Stai dicendo che entrambi si riferiscono alla stessa cosa? Non vedo perché lo farebbero ma ok ...
$
rappresenta un / file nascosto o amministrativa / cartella di sistema. sembra una$recycle.bin
cartella.