ไดเรกทอรี C: \ $ คืออะไร


11

เมื่อฉันเรียกกระบวนการตรวจสอบผมเห็นคำขอส่งไปยังReadFileC:\$Directory

สิ่งนี้หมายความว่าอย่างไร


ปรับปรุง:

ฉันก็เห็น$MapAttributeValueเช่นกันซึ่งดูไม่คุ้นเคยเช่นกัน


$หมายถึงที่ซ่อนอยู่หรือการบริหารระบบ / โฟลเดอร์ / ไฟล์ ดูเหมือน$recycle.binโฟลเดอร์
αғsнιη

คำตอบ:


5

อัปเดต:ฉันค้นคว้าปัญหานี้เพิ่มเติม (เนื่องจากฉันสังเกตเห็นพฤติกรรมเดียวกันในคอมพิวเตอร์ของฉันและเป็นห่วงว่านี่เป็นมัลแวร์บางประเภท) และตอนนี้ฉันเชื่อว่าคำตอบดั้งเดิมของฉันนั้นไม่ถูกต้อง นี่คือสิ่งที่ฉันพบตอนนี้:

  1. procesess ที่แตกต่างกันอ่านจากไฟล์นี้และจาก offsets ที่แตกต่างกัน แต่มีความยาวเท่ากัน: 4K (หน้าหน่วยความจำหนึ่งหน้า)
  2. มีการดำเนินงานของ ReadFile แต่ไม่มีการเปิดไฟล์ใด ๆ
  3. เมื่อดูที่การติดตามสแต็กฉันเห็นว่าคำขอทั้งหมดมีข้อบกพร่องของหน้าในการติดตามเช่นไฟล์ที่อ่านอยู่ข้างในIoPageRead()ฟังก์ชั่นเคอร์เนลที่อ่านหน้าจากไฟล์เพจเข้าสู่หน่วยความจำ
  4. การอ่านเหล่านี้เกิดขึ้นใน C: \ $ Directory และ V: \ $ Directory บนระบบของฉันไดรฟ์สองตัวที่เก็บไฟล์เก็บเพจไว้และไม่มีที่อื่นอีกแล้ว

จากการวิจัยครั้งนี้ฉันเชื่ออย่างยิ่งว่า "การอ่านไฟล์" นี้เป็นสิ่งประดิษฐ์ Process Monitor บางชนิดและการอ่านจริงเกิดขึ้นในไฟล์เพจจิ้ง ฉันไม่รู้ว่าทำไม ProcMon ระบุเส้นทางเป็นไดเรกทอรี C: \ $

ฉันไม่คิดว่าตอนนี้ที่นี้ C: \ $ Directory เป็นจริงเมตา NTFS ฉันไม่คิดว่าตอนนี้อาจเป็นกิจกรรมที่ผิดกฎหมาย (ไวรัสหรือมัลแวร์อื่น ๆ )


2
ฉันค่อนข้างแน่ใจว่าไม่ใช่ # 3 หรือ # 2 ดังนั้นอาจเป็น # 1 มันไม่ได้บอกอะไรฉันเลย
แต่ว่า

โดยปกติจะกำหนดให้ explorer.exe ดังนั้นฉันก็เดาว่ามันไม่ใช่ # 2 หรือ # 3
Diskilla

ฉันเปลี่ยนคำตอบอย่างสมบูรณ์ขอโทษ
haimg

ฉันเพิ่มเงินรางวัล หากมีเอกสารอย่างเป็นทางการ / ไม่เป็นทางการหรือการค้นพบอื่น ๆ มันจะดีมาก มันค่อนข้างยากที่จะ google สิ่งนี้
Stefano Borini

4

$ Directory และ $ MapAttributeValue อาจเป็นชื่อรหัสส่วนใหญ่สำหรับพื้นที่ระบบในดิสก์NTFSและการอ้างอิงเหล่านี้มาจากโปรแกรมที่เปิดหรือสร้างไฟล์

ชื่อเหล่านี้อาจเกี่ยวข้องกับMetafilesซึ่งนิยามโดยวิกิพีเดียเป็น:

NTFS มีหลายไฟล์ที่กำหนดและจัดระเบียบระบบไฟล์ ทุกประการไฟล์เหล่านี้ส่วนใหญ่มีโครงสร้างเหมือนกับไฟล์ผู้ใช้อื่น ๆ ($ Volume เป็นรูปแบบที่แปลกที่สุด) แต่ไม่สนใจโดยตรงกับไคลเอนต์ระบบไฟล์ metafiles เหล่านี้กำหนดไฟล์สำรองข้อมูลระบบไฟล์ที่สำคัญการเปลี่ยนแปลงระบบไฟล์บัฟเฟอร์จัดการการจัดสรรพื้นที่ว่างตอบสนองความคาดหวังของ BIOS ติดตามหน่วยการจัดสรรที่ไม่ดีและการรักษาความปลอดภัยและการใช้พื้นที่ดิสก์ เนื้อหาทั้งหมดอยู่ในสตรีมข้อมูลที่ไม่มีชื่อเว้นแต่จะระบุไว้เป็นอย่างอื่น

$ Directory น่าจะเป็นตารางไฟล์หลัก (MFT) ซึ่งเป็นไดเรกทอรีสำหรับไฟล์และโฟลเดอร์ทั้งหมดซึ่งจัดเก็บเป็นเมทาดาทาชื่อไฟล์วันที่สร้างสิทธิ์การเข้าถึง (โดยใช้รายการควบคุมการเข้าถึง) และขนาด โปรแกรมใด ๆ ที่เปิดหรือสร้างไฟล์หรือโฟลเดอร์เข้าถึงพื้นที่ของดิสก์นี้

$ MapAttributeValue น่าจะเป็นพื้นที่ส่วนใหญ่ของรายการคุณสมบัติซึ่งอธิบายว่า:

สำหรับแต่ละไฟล์ (หรือไดเรกทอรี) ที่อธิบายไว้ในเรคคอร์ด MFT จะมีแหล่งเก็บข้อมูลเชิงเส้นของตัวให้คำอธิบายสตรีม (หรือชื่อแอตทริบิวต์), รวมเข้าด้วยกันในเรคคอร์ด MFT หนึ่งรายการหรือมากกว่า (มีรายการแอตทริบิวต์ที่เรียกว่า) ขนาด 1 KB ของทุกเรคคอร์ด MFT และที่อธิบายถึงสตรีมที่มีประสิทธิภาพที่เกี่ยวข้องกับไฟล์นั้น


ฉันไม่เข้าใจคุณกำลังบอกว่า$Directoryเหมือน$MFTหรือไม่ นอกจากนี้รายการคุณลักษณะยังเป็นของไฟล์บันทึกแต่ละไฟล์และจัดเก็บไว้ในแต่ละระเบียน พวกเขาไม่ใช่ไฟล์ทั่วโลกที่เก็บไว้ในรากของดิสก์ ...
user541686

ตกลงฉันก็ลบของฉันด้วยแม้ว่าความคิดเห็นแรกของฉันจะยังคงอยู่ (ฉันยังไม่เข้าใจสิ่งที่คุณหมายถึงโดยวลีเช่น "MFT ที่เป็นไดเรกทอรีสำหรับไฟล์และโฟลเดอร์ทั้งหมด"
user541686

1
@ Mehrdad: ฉันพยายามที่จะบอกว่าไฟล์และโฟลเดอร์ทั้งหมดถูกกำหนดไว้ในนั้นดังนั้นเมื่อโปรแกรมเปิดหรือสร้างไฟล์นั่นเป็นสิ่งที่ระบบปฏิบัติการต้องการเข้าถึง
harrymc

1
ฉันยังไม่เข้าใจความคิดเห็นของคุณ เฉพาะไฟล์ที่มีทุก\$MFTไฟล์และโฟลเดอร์ที่กำหนดไว้ในนั้น ไม่มีเมตาหรือสถานที่อื่น ๆ \$Directoryบนดิสก์ที่มีชื่อเป็น ฉันไม่เข้าใจสิ่งที่คุณกำลังพูดถึง
user541686

1
ฉันเคยเห็นC:\$MFTมีรายการหลายครั้งเกินไปเช่นกัน คุณกำลังพูดว่าทั้งสองอ้างถึงสิ่งเดียวกันหรือไม่? ฉันไม่เห็นว่าทำไมพวกเขาถึงจะตกลง ...
user541686
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.