ProcMon - bắt truy cập tệp đến từ mạng


3

Tôi hiện đang sử dụng procmon để khắc phục sự cố tôi gặp phải các tệp mạng. Một PC khác trên mạng cục bộ ghi các tệp "lệnh" nhỏ vào máy đích, sau đó tiêu thụ chúng - tức là chúng được đọc, hành động và xóa.

Ngoài ra còn có một tệp khác được cập nhật một lần mỗi giây bởi Mục tiêu máy và đọc bởi các máy mạng khác.

Sau khi chạy một thời gian, các máy mạng sẽ mất quyền truy cập vào tệp mà chúng đang đọc từ máy đích. Tệp bị khóa vĩnh viễn - máy chủ không thể cập nhật tệp nữa (vi phạm chia sẻ). Vấn đề dường như liên quan đến MsMpEng.exe (Microsoft Security Essentials) khi cố lấy một tệp lệnh khi nó xuất hiện lần đầu tiên, nhưng tôi muốn liên quan đến những gì đang xảy ra với các yêu cầu đến. Procmon dường như không hiển thị những điều này.

ProcMon có thể được cấu hình để bắt truy cập vào hệ thống tệp cục bộ từ các máy mạng không? Có phải nó được gắn với khối loại trừ bí ẩn được thêm vào bộ lọc mới theo mặc định?


Tôi tin rằng nó sẽ bắt được những thứ đó khi mọi thứ được chuyển qua trình điều khiển bộ lọc được chèn bởi procmon. Bạn đã bật "Bộ lọc - & gt; Kích hoạt đầu ra nâng cao" chưa?
Lieven Keersmaekers

Này, @Lieven, đã làm điều đó. Cảm ơn nhiều. Bạn muốn làm cho nó một câu trả lời?
rossmcm

Câu trả lời:


3

từ Windows Internals

Theo mặc định, Procmon bắt đầu ở chế độ cơ bản và bỏ qua hệ thống tệp nhất định   hoạt động từ được hiển thị bao gồm

  • Tệp siêu dữ liệu I / O đến NTFS
  • I / O đến tệp hoán trang
  • I / O được tạo bởi quy trình Hệ thống
  • I / O được tạo bởi Quy trình giám sát quy trình.

Để bắt truy cập tệp đến từ mạng, bạn cần xem I / O được tạo bởi quy trình Hệ thống. Để có thể xem điều đó, hãy chuyển Procmon sang Chế độ nâng cao bằng cách sử dụng menu Filter -> Enable Advanced Output.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.