Was ist C: \ $ Directory?

Wenn ich Process Monitor ausführe , werden ReadFileAnforderungen an gesendet C:\$Directory.

Was genau bedeutet das?

Aktualisieren:

Ich sehe auch $MapAttributeValue, was auch ungewohnt aussieht.

Update: Ich habe dieses Problem weiter untersucht (da ich auf meinem eigenen Computer das gleiche Verhalten festgestellt habe und mir Sorgen gemacht habe, dass es sich um eine Art Malware handelt), und jetzt glaube ich, dass meine ursprüngliche Antwort tatsächlich falsch war. Folgendes habe ich jetzt gefunden:

1. Mehrere verschiedene Prozesse werden aus dieser Datei und aus verschiedenen Offsets gelesen, jedoch mit derselben Länge: 4 KB (genau eine Speicherseite).
2. Es gibt ReadFile-Operationen, aber kein Öffnen der Datei, was wenig Sinn macht.
3. Wenn ich mir den Stack-Trace ansehe, sehe ich, dass alle Anforderungen einen Seitenfehler im Trace enthalten, z. B. befindet sich diese gelesene Datei im IoPageRead()Kernel, der Seiten aus der Auslagerungsdatei in den Speicher liest.
4. Diese Lesevorgänge finden in C: \ $ Directory und V: \ $ Directory auf meinem System statt, den beiden Laufwerken, auf denen Paging-Dateien gespeichert sind, und nirgendwo anders.

Aufgrund dieser Forschung bin ich der festen Überzeugung, dass dieses "Lesen von Dateien" eine Art Prozessmonitor-Artefakt ist und das eigentliche Lesen in der Auslagerungsdatei erfolgt. Ich habe keine Ahnung, warum ProcMon den Pfad als C: \ $ Directory auflistet.

Ich denke jetzt nicht, dass dieses C: \ $ -Verzeichnis eine echte NTFS-Metadatei ist . Ich denke jetzt nicht, dass dies eine illegitime Aktivität sein könnte (Virus oder andere Malware).

$ Directory und $ MapAttributeValue sind höchstwahrscheinlich Codenamen für Systembereiche auf der NTFS- Festplatte, und diese Verweise stammen von Programmen, die Dateien öffnen oder erstellen.

Diese Namen beziehen sich wahrscheinlich auf Metadateien , die von Wikipedia wie folgt definiert werden:

NTFS enthält mehrere Dateien, die das Dateisystem definieren und organisieren. In jeder Hinsicht sind die meisten dieser Dateien wie jede andere Benutzerdatei strukturiert ($ Volume ist die eigentümlichste), aber für Dateisystem-Clients nicht von direktem Interesse. Diese Metadateien definieren Dateien, sichern wichtige Dateisystemdaten, puffern Dateisystemänderungen, verwalten die Zuweisung von freiem Speicherplatz, erfüllen die BIOS-Erwartungen, verfolgen fehlerhafte Zuordnungseinheiten und speichern Informationen zur Sicherheit und zur Speicherplatznutzung. Sofern nicht anders angegeben, befindet sich der gesamte Inhalt in einem unbenannten Datenstrom.

$ Directory ist höchstwahrscheinlich die Master File Table (MFT), das Verzeichnis für alle Dateien und Ordner, in dem Dateiname, Erstellungsdatum, Zugriffsberechtigungen (mithilfe von Zugriffssteuerungslisten) und Größe als Metadaten gespeichert sind. Jedes Programm, das eine Datei oder einen Ordner öffnet oder erstellt, greift auf diesen Bereich der Festplatte zu.

$ MapAttributeValue ist höchstwahrscheinlich der Bereich Attributlisten , der wie folgt beschrieben wird:

Für jede im MFT-Datensatz beschriebene Datei (oder jedes Verzeichnis) gibt es ein lineares Repository von Stream-Deskriptoren (auch Attribute genannt), die in einem oder mehreren MFT-Datensätzen (die die sogenannte Attributliste enthalten) mit zusätzlichen Auffüllungen zum Füllen des Fixes gepackt sind 1 KB Größe jedes MFT-Datensatzes, und dies beschreibt vollständig die effektiven Streams, die dieser Datei zugeordnet sind.