プロセスモニターを実行すると、にReadFile
送信されC:\$Directory
た要求が表示されます。
これはどういう意味ですか?
更新:
私も$MapAttributeValue
見慣れていません。
プロセスモニターを実行すると、にReadFile
送信されC:\$Directory
た要求が表示されます。
これはどういう意味ですか?
私も$MapAttributeValue
見慣れていません。
回答:
更新:私はこの問題をさらに調査しました(自分のコンピューターで同じ動作に気づき、これが一種のマルウェアであることが心配されたため)、現在、私の元の答えは実際には正しくないと信じています。これが私が今見つけたものです:
IoPageRead()
、ページングファイルからメモリにページを読み取るカーネル関数の内部にあります。この調査に基づいて、この「ファイルの読み取り」はある種のプロセスモニターのアーティファクトであり、実際の読み取りはページングファイルで行われると強く信じています。ProcMonがパスをC:\ $ Directoryと表示する理由はわかりません。
このC:\ $ Directoryが実際のNTFSメタファイルであるとは思いません。これが違法行為(ウイルスまたはその他のマルウェア)である可能性があるとは、私は思いません。
$ Directoryと$ MapAttributeValueは、おそらくNTFSディスク上のシステム領域のコード名であり、これらの参照は、ファイルを開いたり作成したりするプログラムからのものです。
これらの名前はおそらく、Wikipediaで次のように定義されているメタファイルに関連しています。
NTFSには、ファイルシステムを定義および編成するいくつかのファイルが含まれています。すべての点で、これらのファイルのほとんどは他のユーザーファイルと同様に構造化されていますが($ Volumeが最も独特です)、ファイルシステムクライアントには直接関係ありません。これらのメタファイルは、ファイルの定義、重要なファイルシステムデータのバックアップ、ファイルシステムの変更のバッファリング、空き領域割り当ての管理、BIOSの期待を満たす、不良アロケーションユニットの追跡、セキュリティとディスク領域の使用状況情報の保存を行います。特に明記されていない限り、すべてのコンテンツは名前のないデータストリームにあります。
$ Directoryは、すべてのファイルとフォルダーのディレクトリであるマスターファイルテーブル(MFT)である可能性が高く、メタデータとしてファイル名、作成日、アクセス許可(アクセス制御リストを使用)、およびサイズが格納されます。ファイルまたはフォルダを開いたり作成したりするプログラムは、ディスクのこの領域にアクセスします。
$ MapAttributeValueは、おそらく次のように記述される属性リスト領域です。
MFTレコードに記述されているファイル(またはディレクトリ)ごとに、ストリーム記述子(属性とも呼ばれます)の線形リポジトリがあり、1つまたは複数のMFTレコード(いわゆる属性リストを含む)にまとめられます。すべてのMFTレコードのサイズは1 KBで、そのファイルに関連付けられている有効なストリームを完全に説明しています。
$Directory
同じ$MFT
ですか?また、属性リストは個々のファイルレコードに属し、個々のレコード内に保存されます。それらはディスクのルートに格納されているグローバルファイルではありません...
\$MFT
です。というディスク上にメタファイルやその他の場所はありません\$Directory
。私はあなたが何を話しているのか理解できません。
C:\$MFT
しかし、私はそこに何度もリストされているのを見ました。どちらも同じことを言っているのですか?彼らがなぜそうするのかわかりません...
$
隠されたまたは管理/システムフォルダ/ファイルを表します。$recycle.bin
フォルダーのように見えます。