C: \ $ निर्देशिका क्या है?

11

जब मैं प्रोसेस मॉनिटर चलाता हूं , तो मुझे ReadFileभेजे गए अनुरोध दिखाई देते हैं C:\$Directory

इसका वास्तव में क्या मतलब है?

अपडेट करें:

मैं भी देखता हूं $MapAttributeValue, जो अपरिचित भी दिखता है।

procmon 
user541686
स्रोत
$एक छिपी या प्रशासनिक / सिस्टम फ़ोल्डर / फ़ाइल का प्रतिनिधित्व करता है। $recycle.binफ़ोल्डर की तरह दिखता है ।
α atsнιη

जवाबों:

5

अद्यतन: मैंने इस मुद्दे पर और शोध किया (क्योंकि मैंने अपने कंप्यूटर पर समान व्यवहार को देखा है, और चिंतित था कि यह किसी प्रकार का मैलवेयर है), और अब मुझे विश्वास है कि मेरा मूल उत्तर वास्तव में गलत था। यहाँ अब मुझे क्या मिला:

  1. इस फ़ाइल से कई अलग-अलग भविष्यवाणियां पढ़ी जाती हैं, और अलग-अलग ऑफसेट से, लेकिन एक ही लंबाई के साथ: 4K (बिल्कुल एक मेमोरी पेज)।
  2. रीडफ़ाइल ऑपरेशन हैं, लेकिन फ़ाइल का कोई भी उद्घाटन नहीं है, जो थोड़ा समझ में आता है।
  3. स्टैक ट्रेस को देखते हुए, मैं देखता हूं कि सभी अनुरोधों में ट्रेस में एक पेज फॉल्ट शामिल है, उदाहरण के लिए यह फ़ाइल रीड अंदर है IoPageRead(), कर्नेल फ़ंक्शन जो पेजिंग फ़ाइल से पेज को मेमोरी में पढ़ता है।
  4. ये लिखा है: C: \ $ Directory और V: \ $ Directory मेरे सिस्टम पर, दो ड्राइव जो उन पर पेजिंग फ़ाइल रखती हैं, और कहीं नहीं।

इस शोध के आधार पर, मेरा दृढ़ता से मानना ​​है कि यह "फाइल रीड" कुछ प्रकार की प्रोसेस मॉनीटर आर्टवर्क है, और वास्तविक रीड पेजिंग फाइल में होता है। मुझे नहीं पता कि ProcMon C: \ $ Directory के रूप में पथ को क्यों सूचीबद्ध करता है।

मुझे नहीं लगता कि अब यह C: \ $ डायरेक्टरी एक वास्तविक NTFS मेटाफ़ाइल है । अब मुझे नहीं लगता कि यह कुछ नाजायज गतिविधि (वायरस या अन्य मैलवेयर) हो सकती है।

haimg
स्रोत
2
मुझे पूरा यकीन है कि यह # 3 या # 2 नहीं है। तो यह शायद # 1 है। यह वास्तव में मुझे कुछ भी नहीं बताता, हालांकि ...
user541686
आम तौर पर यह explorer.exe को सौंपा गया है। तो, मुझे भी लगता है, यह isn`t # 2 या # 3 है।
डिस्किला
मैंने अपना जवाब पूरी तरह से बदल दिया, क्षमा करें।
haimg
मैंने एक इनाम जोड़ा। यदि कोई आधिकारिक / अनौपचारिक डॉक्स या कोई अन्य निष्कर्ष है, तो यह बहुत अच्छा होगा। इस सामान को गूगल करना कठिन है।
स्टेफानो बोरीनी
4

$ निर्देशिका और $ MapAttributeValue शायद NTFS डिस्क पर सिस्टम क्षेत्रों के लिए कोड-नाम हैं , और ये संदर्भ फ़ाइलों को खोलने या बनाने वाले कार्यक्रमों से आते हैं।

ये नाम शायद मेटाफ़ाइल्स से संबंधित हैं , जैसे विकिपीडिया द्वारा परिभाषित:

NTFS में कई फाइलें होती हैं जो फाइल सिस्टम को परिभाषित और व्यवस्थित करती हैं। सभी मामलों में, इनमें से अधिकांश फाइलें किसी अन्य उपयोगकर्ता फ़ाइल की तरह संरचित हैं ($ वॉल्यूम सबसे अजीब है), लेकिन सिस्टम क्लाइंट फाइल करने के लिए प्रत्यक्ष रुचि नहीं है। ये मेटाफ़ाइल्स फ़ाइलों को परिभाषित करते हैं, महत्वपूर्ण फाइल सिस्टम डेटा का बैकअप लेते हैं, बफर फाइल सिस्टम में बदलाव करते हैं, मुक्त स्थान आवंटन का प्रबंधन करते हैं, BIOS अपेक्षाओं को पूरा करते हैं, खराब आवंटन इकाइयों को ट्रैक करते हैं, और सुरक्षा और डिस्क स्थान उपयोग की जानकारी संग्रहीत करते हैं। सभी सामग्री अनाम डेटा स्ट्रीम में है, जब तक कि अन्यथा संकेत न दिया गया हो।

$ निर्देशिका सबसे अधिक संभवत: मास्टर फाइल टेबल (एमएफटी) है जो सभी फ़ाइलों और फ़ोल्डरों के लिए निर्देशिका है, जहां फ़ाइल नाम, निर्माण तिथि, एक्सेस अनुमतियों (एक्सेस कंट्रोल लिस्ट के उपयोग द्वारा) और आकार के मेटाडेटा के रूप में संग्रहीत किया जाता है। कोई भी प्रोग्राम जो फ़ाइल या फ़ोल्डर बनाता है या डिस्क के इस क्षेत्र तक पहुंच बनाता है।

$ MapAttributeValue संभवत: विशेषता सूची क्षेत्र है, जिसे निम्न रूप में वर्णित किया गया है:

MFT रिकॉर्ड में वर्णित प्रत्येक फ़ाइल (या निर्देशिका) के लिए, स्ट्रीम डिस्क्रिप्टर का एक रैखिक रिपॉजिटरी है (जिसे विशेषताओं का नाम भी दिया गया है), एक या एक से अधिक एमएफटी रिकॉर्ड (तथाकथित विशेषताओं की सूची वाले) में एक साथ पैक किया गया है, जिसमें निर्धारित भरने के लिए अतिरिक्त पैडिंग है। प्रत्येक एमएफटी रिकॉर्ड का 1 केबी आकार, और यह पूरी तरह से उस फाइल से जुड़ी प्रभावी धाराओं का वर्णन करता है।

harrymc
स्रोत
मुझे नहीं मिला, आप कह रहे हैं कि $Directoryजैसा है $MFT? इसके अलावा, विशेषता सूचियाँ व्यक्तिगत फ़ाइल रिकॉर्ड से संबंधित हैं और व्यक्तिगत रिकॉर्ड के अंदर संग्रहीत की जाती हैं; वे डिस्क की जड़ पर संग्रहीत वैश्विक फ़ाइलें नहीं हैं ...
user541686
ठीक है, मैंने अपना भी डिलीट कर दिया, हालाँकि मेरी पहली टिप्पणी अभी भी बनी हुई है (मुझे अभी भी समझ में नहीं आया कि "
एमएफटी
1
@ मेहरदाद: मैं यह कहने की कोशिश कर रहा था कि सभी फाइलें और फोल्डर इसमें परिभाषित हैं, इसलिए जब कोई प्रोग्राम खुलता है या कोई फाइल बनाता है, तो वहीं ऑपरेटिंग सिस्टम को एक्सेस करने की जरूरत होती है।
harrymc
1
मैं अभी भी आपकी टिप्पणी का कोई मतलब नहीं निकाल सकता। एकमात्र फ़ाइल जिसमें सभी फाइलें और फ़ोल्डर्स इसमें परिभाषित हैं \$MFT। नामित डिस्क पर कोई मेटाफ़ाइल या अन्य स्थान नहीं है \$Directory। मुझे समझ नहीं आ रहा है कि आप किस बारे में बात कर रहे हैं।
user541686
1
मैं C:\$MFTवहाँ बहुत बार सूचीबद्ध है, हालांकि देखा है। क्या आप कह रहे हैं कि दोनों एक ही बात को संदर्भित करते हैं? मैं यह नहीं देखता कि वे क्यों ठीक हैं ...
user541686
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.