Cuando ejecuto Process Monitor , veo ReadFile
solicitudes enviadas a C:\$Directory
.
¿Qué significa esto exactamente?
Actualizar:
También veo $MapAttributeValue
, que también parece desconocido.
Cuando ejecuto Process Monitor , veo ReadFile
solicitudes enviadas a C:\$Directory
.
¿Qué significa esto exactamente?
También veo $MapAttributeValue
, que también parece desconocido.
Respuestas:
Actualización: investigué más este problema (ya que noté el mismo comportamiento en mi propia computadora y me preocupaba que se tratara de algún tipo de malware), y ahora creo que mi respuesta original era de hecho incorrecta. Esto es lo que encontré ahora:
IoPageRead()
, la función del núcleo que lee las páginas del archivo de paginación en la memoria.Basado en esta investigación, creo firmemente que esta "lectura de archivo" es una especie de artefacto de Monitor de proceso, y la lectura real ocurre en el archivo de paginación. No tengo idea de por qué ProcMon enumera la ruta como C: \ $ Directory.
No creo ahora que este directorio C: \ $ sea un metarchivo NTFS real . No creo ahora que esto pueda ser alguna actividad ilegítima (virus u otro malware).
$ Directory y $ MapAttributeValue son probablemente nombres de código para áreas del sistema en el disco NTFS , y estas referencias provienen de programas que abren o crean archivos.
Estos nombres probablemente pertenecen a los metarchivos , definidos por wikipedia como:
NTFS contiene varios archivos que definen y organizan el sistema de archivos. En todos los aspectos, la mayoría de estos archivos están estructurados como cualquier otro archivo de usuario ($ Volume es el más peculiar), pero no son de interés directo para los clientes del sistema de archivos. Estos metarchivos definen archivos, realizan copias de seguridad de los datos críticos del sistema de archivos, cambian los cambios del sistema de archivos, administran la asignación de espacio libre, satisfacen las expectativas del BIOS, rastrean las unidades de asignación incorrectas y almacenan la seguridad y el uso del espacio en disco. Todo el contenido está en una secuencia de datos sin nombre, a menos que se indique lo contrario.
$ Directory es probablemente la tabla maestra de archivos (MFT) que es el directorio para todos los archivos y carpetas, donde se almacenan como metadatos el nombre del archivo, la fecha de creación, los permisos de acceso (mediante el uso de listas de control de acceso) y el tamaño. Cualquier programa que abra o cree un archivo o carpeta accede a esta área del disco.
$ MapAttributeValue es probablemente el área de listas de atributos , descrita como:
Para cada archivo (o directorio) descrito en el registro MFT, hay un repositorio lineal de descriptores de flujo (también denominados atributos), agrupados en uno o más registros MFT (que contienen la llamada lista de atributos), con relleno adicional para llenar el fijo Tamaño de 1 KB de cada registro MFT, y eso describe completamente las transmisiones efectivas asociadas con ese archivo.
$Directory
es lo mismo que $MFT
? Además, las listas de atributos pertenecen a registros de archivos individuales y se almacenan dentro de los registros individuales; que no son archivos globales almacenados en la raíz del disco ...
\$MFT
. No hay un metarchivo u otra ubicación en el disco nombrado \$Directory
. No entiendo de qué estás hablando.
C:\$MFT
embargo, también he visto allí muchas veces. ¿Estás diciendo que ambos se refieren a la misma cosa? No veo por qué lo harían, pero está bien ...
$
representa un sistema / carpetas / archivos ocultos o administrativa. se parece a la$recycle.bin
carpeta.