Thư mục C: \ $ là gì?

Khi tôi chạy Process Monitor , tôi thấy ReadFilecác yêu cầu được gửi đến C:\$Directory.

Chính xác điều này có nghĩa là gì?

Cập nhật:

Tôi cũng thấy $MapAttributeValue, trông cũng lạ lẫm.

Cập nhật: Tôi đã nghiên cứu thêm về vấn đề này (vì tôi đã nhận thấy hành vi tương tự trên máy tính của mình và lo lắng rằng đây là một loại phần mềm độc hại), và bây giờ tôi tin rằng câu trả lời ban đầu của tôi thực tế là không chính xác. Đây là những gì tôi tìm thấy bây giờ:

1. Một số quy trình khác nhau được đọc từ tệp này và từ các độ lệch khác nhau, nhưng có cùng độ dài: 4K (chính xác là một trang bộ nhớ).
2. Có các hoạt động ReadFile, nhưng không mở tệp, điều này rất ít ý nghĩa.
3. Nhìn vào theo dõi ngăn xếp, tôi thấy rằng tất cả các yêu cầu bao gồm một lỗi trang trong theo dõi, ví dụ: tệp này được đọc bên trong IoPageRead(), hàm kernel đọc các trang từ tệp hoán trang vào bộ nhớ.
4. Những lần đọc này xảy ra trên C: \ $ Directory và V: \ $ Directory trên hệ thống của tôi, hai ổ đĩa chứa các tệp hoán trang trên chúng và không ở đâu khác.

Dựa trên nghiên cứu này, tôi tin tưởng mạnh mẽ rằng "tệp đọc" này là một loại tạo tác của Trình giám sát quy trình và việc đọc thực sự xảy ra trong tệp hoán trang. Tôi không biết tại sao ProcMon liệt kê đường dẫn là C: \ $ Directory.

Bây giờ tôi không nghĩ rằng Thư mục C: \ $ này là một siêu tệp NTFS thực sự . Bây giờ tôi không nghĩ rằng đây có thể là một số hoạt động bất hợp pháp (vi rút hoặc phần mềm độc hại khác).

$ Directory và $ MapAttributionValue có lẽ là tên mã cho các khu vực hệ thống trên đĩa NTFS và các tham chiếu này đến từ các chương trình mở hoặc tạo tệp.

Những tên này có thể liên quan đến Metafiles , được định nghĩa bởi wikipedia là:

NTFS chứa một số tệp xác định và tổ chức hệ thống tệp. Trong tất cả các khía cạnh, hầu hết các tệp này được cấu trúc như bất kỳ tệp người dùng nào khác ($ Volume là đặc biệt nhất), nhưng không được khách hàng hệ thống tệp quan tâm trực tiếp. Các siêu tệp này xác định tệp, sao lưu dữ liệu hệ thống tệp quan trọng, thay đổi hệ thống tệp đệm, quản lý phân bổ không gian trống, đáp ứng mong đợi của BIOS, theo dõi các đơn vị phân bổ xấu và lưu trữ thông tin sử dụng không gian đĩa và bảo mật. Tất cả nội dung nằm trong một luồng dữ liệu không tên, trừ khi có quy định khác.

$ Directory có lẽ là Bảng tệp chính (MFT) là thư mục cho tất cả các tệp và thư mục, được lưu trữ dưới dạng siêu dữ liệu tên tệp, ngày tạo, quyền truy cập (bằng cách sử dụng danh sách kiểm soát truy cập) và kích thước. Bất kỳ chương trình nào mở hoặc tạo một tập tin hoặc thư mục truy cập vào khu vực này của đĩa.

$ MapAttributionValue rất có thể là khu vực danh sách Thuộc tính , được mô tả là:

Đối với mỗi tệp (hoặc thư mục) được mô tả trong bản ghi MFT, có một kho lưu trữ tuyến tính của các mô tả luồng (cũng được đặt tên thuộc tính), được đóng gói cùng nhau trong một hoặc nhiều bản ghi MFT (chứa danh sách thuộc tính được gọi là), với phần đệm thêm để điền vào cố định Kích thước 1 KB của mỗi bản ghi MFT và mô tả đầy đủ các luồng hiệu quả được liên kết với tệp đó.