C : \ $ Directory 란 무엇입니까?

Process Monitor를 실행하면에 ReadFile요청이 전송 된 것을 볼 수 C:\$Directory있습니다.

이것이 정확히 무엇을 의미합니까?

최신 정보:

또한 $MapAttributeValue익숙하지 않은 것으로 보입니다.

업데이트 : 나는이 문제를 더 연구했다 . (내 컴퓨터에서 동일한 동작을 발견하고 이것이 일종의 맬웨어라는 것을 염려했기 때문에) 이제 원래의 대답이 실제로 틀렸다고 생각합니다. 여기 내가 지금 찾은 것이 있습니다.

1. 이 파일과 다른 오프셋에서 읽을 수 있지만 길이는 4K (정확히 하나의 메모리 페이지) 인 여러 다른 프로세스가 읽습니다.
2. ReadFile 작업이 있지만 파일을 열지 않으므로 의미가 없습니다.
3. 스택 추적을 보면 모든 요청에 ​​추적에 페이지 오류가 포함되어 있음을 알 수 있습니다. 예를 들어이 파일 읽기는 내부 IoPageRead(), 페이지를 페이징 파일에서 메모리로 읽는 커널 함수입니다.
4. 이 읽기는 내 시스템의 C : \ $ Directory 및 V : \ $ Directory에서 페이징 파일을 보관하는 두 개의 드라이브에서 발생합니다.

이 연구를 바탕으로,이 "파일 읽기"는 일종의 프로세스 모니터 아티팩트이며 실제 읽기는 페이징 파일에서 발생합니다. ProcMon이 경로를 C : \ $ Directory로 나열하는 이유를 모르겠습니다.

이 C : \ $ Directory가 실제 NTFS 메타 파일 이라고 생각하지 않습니다 . 나는 이것이 불법적 인 활동 (바이러스 또는 다른 맬웨어) 일 수 있다고 생각하지 않습니다.

$ Directory 및 $ MapAttributeValue는 NTFS 디스크의 시스템 영역에 대한 코드 이름 일 가능성이 높으며 이러한 참조는 파일을 열거 나 만드는 프로그램에서 비롯된 것입니다.

이 이름들은 아마도 wikipedia에 의해 다음과 같이 정의 된 메타 파일 과 관련이있을 것입니다 :

NTFS에는 파일 시스템을 정의하고 구성하는 여러 파일이 있습니다. 모든 측면에서 이러한 파일의 대부분은 다른 사용자 파일 ($ Volume이 가장 특이 함)처럼 구성되지만 파일 시스템 클라이언트에 직접적인 관심은 없습니다. 이 메타 파일은 파일을 정의하고, 중요한 파일 시스템 데이터를 백업하고, 파일 시스템 변경을 버퍼링하고, 여유 공간 할당을 관리하고, BIOS 기대를 충족 시키며, 할당량을 잘못 추적하고, 보안 및 디스크 공간 사용량 정보를 저장합니다. 달리 명시되지 않는 한 모든 내용은 명명되지 않은 데이터 스트림에 있습니다.

$ Directory는 아마도 모든 파일과 폴더의 디렉토리 인 MFT ( Master File Table ) 일 것입니다. 여기서 파일 이름, 작성 날짜, 액세스 권한 (액세스 제어 목록을 사용하여) 및 크기가 메타 데이터로 저장됩니다. 파일 또는 폴더를 열거 나 생성하는 모든 프로그램은 디스크의이 영역에 액세스합니다.

$ MapAttributeValue는 다음과 같이 속성 목록 영역 일 것입니다.

MFT 레코드에 설명 된 각 파일 (또는 디렉토리)에 대해 하나 이상의 MFT 레코드 (소위 속성 목록 포함)로 묶인 스트림 디스크립터 (속성이라고도 함)의 선형 저장소가 있으며, 고정 된 항목을 채 웁니다. 모든 MFT 레코드의 1KB 크기이며 해당 파일과 관련된 유효 스트림을 완전히 설명합니다.