Wenn ich Process Monitor ausführe , werden ReadFile
Anforderungen an gesendet C:\$Directory
.
Was genau bedeutet das?
Aktualisieren:
Ich sehe auch $MapAttributeValue
, was auch ungewohnt aussieht.
Wenn ich Process Monitor ausführe , werden ReadFile
Anforderungen an gesendet C:\$Directory
.
Was genau bedeutet das?
Ich sehe auch $MapAttributeValue
, was auch ungewohnt aussieht.
Antworten:
Update: Ich habe dieses Problem weiter untersucht (da ich auf meinem eigenen Computer das gleiche Verhalten festgestellt habe und mir Sorgen gemacht habe, dass es sich um eine Art Malware handelt), und jetzt glaube ich, dass meine ursprüngliche Antwort tatsächlich falsch war. Folgendes habe ich jetzt gefunden:
IoPageRead()
Kernel, der Seiten aus der Auslagerungsdatei in den Speicher liest.Aufgrund dieser Forschung bin ich der festen Überzeugung, dass dieses "Lesen von Dateien" eine Art Prozessmonitor-Artefakt ist und das eigentliche Lesen in der Auslagerungsdatei erfolgt. Ich habe keine Ahnung, warum ProcMon den Pfad als C: \ $ Directory auflistet.
Ich denke jetzt nicht, dass dieses C: \ $ -Verzeichnis eine echte NTFS-Metadatei ist . Ich denke jetzt nicht, dass dies eine illegitime Aktivität sein könnte (Virus oder andere Malware).
$ Directory und $ MapAttributeValue sind höchstwahrscheinlich Codenamen für Systembereiche auf der NTFS- Festplatte, und diese Verweise stammen von Programmen, die Dateien öffnen oder erstellen.
Diese Namen beziehen sich wahrscheinlich auf Metadateien , die von Wikipedia wie folgt definiert werden:
NTFS enthält mehrere Dateien, die das Dateisystem definieren und organisieren. In jeder Hinsicht sind die meisten dieser Dateien wie jede andere Benutzerdatei strukturiert ($ Volume ist die eigentümlichste), aber für Dateisystem-Clients nicht von direktem Interesse. Diese Metadateien definieren Dateien, sichern wichtige Dateisystemdaten, puffern Dateisystemänderungen, verwalten die Zuweisung von freiem Speicherplatz, erfüllen die BIOS-Erwartungen, verfolgen fehlerhafte Zuordnungseinheiten und speichern Informationen zur Sicherheit und zur Speicherplatznutzung. Sofern nicht anders angegeben, befindet sich der gesamte Inhalt in einem unbenannten Datenstrom.
$ Directory ist höchstwahrscheinlich die Master File Table (MFT), das Verzeichnis für alle Dateien und Ordner, in dem Dateiname, Erstellungsdatum, Zugriffsberechtigungen (mithilfe von Zugriffssteuerungslisten) und Größe als Metadaten gespeichert sind. Jedes Programm, das eine Datei oder einen Ordner öffnet oder erstellt, greift auf diesen Bereich der Festplatte zu.
$ MapAttributeValue ist höchstwahrscheinlich der Bereich Attributlisten , der wie folgt beschrieben wird:
Für jede im MFT-Datensatz beschriebene Datei (oder jedes Verzeichnis) gibt es ein lineares Repository von Stream-Deskriptoren (auch Attribute genannt), die in einem oder mehreren MFT-Datensätzen (die die sogenannte Attributliste enthalten) mit zusätzlichen Auffüllungen zum Füllen des Fixes gepackt sind 1 KB Größe jedes MFT-Datensatzes, und dies beschreibt vollständig die effektiven Streams, die dieser Datei zugeordnet sind.
$Directory
ist dasselbe wie $MFT
? Außerdem gehören Attributlisten zu einzelnen Dateidatensätzen und werden in den einzelnen Datensätzen gespeichert. Es handelt sich nicht um globale Dateien, die im Stammverzeichnis der Festplatte gespeichert sind ...
\$MFT
. Auf der genannten Festplatte befindet sich keine Metadatei oder ein anderer Speicherort \$Directory
. Ich verstehe nicht, wovon du sprichst.
C:\$MFT
es dort aber auch schon oft gesehen. Wollen Sie damit sagen, dass sich beide auf dasselbe beziehen? Ich verstehe nicht, warum sie würden, aber ok ...
$
repräsentiert einen versteckten oder administrativen / Systemordner / eine Datei. sieht aus wie$recycle.bin
Ordner.