¿Qué es el directorio C: \ $?

Cuando ejecuto Process Monitor , veo ReadFilesolicitudes enviadas a C:\$Directory.

¿Qué significa esto exactamente?

Actualizar:

También veo $MapAttributeValue, que también parece desconocido.

Actualización: investigué más este problema (ya que noté el mismo comportamiento en mi propia computadora y me preocupaba que se tratara de algún tipo de malware), y ahora creo que mi respuesta original era de hecho incorrecta. Esto es lo que encontré ahora:

1. Se leen varios procesos diferentes de este archivo y de diferentes desplazamientos, pero con la misma longitud: 4K (exactamente una página de memoria).
2. Hay operaciones de ReadFile, pero no se abre el archivo, lo que tiene poco sentido.
3. Al observar el seguimiento de la pila, veo que todas las solicitudes incluyen un error de página en el seguimiento, por ejemplo, la lectura de este archivo está dentro IoPageRead(), la función del núcleo que lee las páginas del archivo de paginación en la memoria.
4. Estas lecturas suceden en C: \ $ Directory y V: \ $ Directory en mi sistema, las dos unidades que contienen archivos de paginación y en ningún otro lugar.

Basado en esta investigación, creo firmemente que esta "lectura de archivo" es una especie de artefacto de Monitor de proceso, y la lectura real ocurre en el archivo de paginación. No tengo idea de por qué ProcMon enumera la ruta como C: \ $ Directory.

No creo ahora que este directorio C: \ $ sea un metarchivo NTFS real . No creo ahora que esto pueda ser alguna actividad ilegítima (virus u otro malware).

$ Directory y $ MapAttributeValue son probablemente nombres de código para áreas del sistema en el disco NTFS , y estas referencias provienen de programas que abren o crean archivos.

Estos nombres probablemente pertenecen a los metarchivos , definidos por wikipedia como:

NTFS contiene varios archivos que definen y organizan el sistema de archivos. En todos los aspectos, la mayoría de estos archivos están estructurados como cualquier otro archivo de usuario ($ Volume es el más peculiar), pero no son de interés directo para los clientes del sistema de archivos. Estos metarchivos definen archivos, realizan copias de seguridad de los datos críticos del sistema de archivos, cambian los cambios del sistema de archivos, administran la asignación de espacio libre, satisfacen las expectativas del BIOS, rastrean las unidades de asignación incorrectas y almacenan la seguridad y el uso del espacio en disco. Todo el contenido está en una secuencia de datos sin nombre, a menos que se indique lo contrario.

$ Directory es probablemente la tabla maestra de archivos (MFT) que es el directorio para todos los archivos y carpetas, donde se almacenan como metadatos el nombre del archivo, la fecha de creación, los permisos de acceso (mediante el uso de listas de control de acceso) y el tamaño. Cualquier programa que abra o cree un archivo o carpeta accede a esta área del disco.

$ MapAttributeValue es probablemente el área de listas de atributos , descrita como:

Para cada archivo (o directorio) descrito en el registro MFT, hay un repositorio lineal de descriptores de flujo (también denominados atributos), agrupados en uno o más registros MFT (que contienen la llamada lista de atributos), con relleno adicional para llenar el fijo Tamaño de 1 KB de cada registro MFT, y eso describe completamente las transmisiones efectivas asociadas con ese archivo.