Apa itu Direktori C: \ $?

Ketika saya menjalankan Process Monitor , saya melihat ReadFilepermintaan dikirim ke C:\$Directory.

Apa sebenarnya artinya ini?

Memperbarui:

Saya juga melihat $MapAttributeValue, yang terlihat asing juga.

Pembaruan: Saya meneliti masalah ini lebih lanjut (karena saya telah memperhatikan perilaku yang sama pada komputer saya sendiri, dan khawatir bahwa ini adalah semacam malware), dan sekarang saya percaya jawaban asli saya sebenarnya tidak benar. Inilah yang saya temukan sekarang:

1. Beberapa proses berbeda membaca dari file ini, dan dari offset yang berbeda, tetapi dengan panjang yang sama: 4K (tepat satu halaman memori).
2. Ada operasi ReadFile, tetapi tidak ada pembukaan file, yang tidak masuk akal.
3. Melihat jejak stack, saya melihat bahwa semua permintaan menyertakan kesalahan halaman dalam jejak, misalnya file ini dibaca di dalam IoPageRead(), fungsi kernel yang membaca halaman dari file paging ke dalam memori.
4. Pembacaan ini terjadi pada C: \ $ Direktori dan V: \ $ Direktori pada sistem saya, dua drive yang menyimpan file paging pada mereka, dan tempat lain.

Berdasarkan penelitian ini, saya sangat percaya bahwa "file read" ini adalah semacam artefak Monitor Proses, dan pembacaan yang sebenarnya terjadi dalam file paging. Saya tidak tahu mengapa ProcMon mendaftar path sebagai C: \ $ Directory.

Saya tidak berpikir sekarang bahwa Direktori C: \ $ ini adalah metafile NTFS yang sebenarnya . Saya tidak berpikir sekarang bahwa ini bisa berupa aktivitas tidak sah (virus atau malware lain).

$ Directory dan $ MapAttributeValue kemungkinan besar adalah nama kode untuk area sistem pada disk NTFS , dan referensi ini berasal dari program yang membuka atau membuat file.

Nama-nama ini mungkin berhubungan dengan Metafiles , didefinisikan oleh wikipedia sebagai:

NTFS berisi beberapa file yang mendefinisikan dan mengatur sistem file. Dalam semua hal, sebagian besar file-file ini disusun seperti file pengguna lainnya ($ Volume menjadi yang paling aneh), tetapi tidak menarik langsung ke klien sistem file. Metafile ini mendefinisikan file, mencadangkan data sistem file penting, mengubah sistem file buffer, mengelola alokasi ruang kosong, memenuhi harapan BIOS, melacak unit alokasi buruk, dan menyimpan informasi keamanan dan penggunaan ruang disk. Semua konten dalam aliran data yang tidak disebutkan namanya, kecuali dinyatakan sebaliknya.

$ Directory kemungkinan besar adalah Master File Table (MFT) yang merupakan direktori untuk semua file dan folder, di mana disimpan sebagai metadata nama file, tanggal pembuatan, izin akses (dengan menggunakan daftar kontrol akses) dan ukuran. Program apa pun yang membuka atau membuat file atau folder mengakses area disk ini.

$ MapAttributeValue kemungkinan besar adalah area daftar atribut , digambarkan sebagai:

Untuk setiap file (atau direktori) yang dijelaskan dalam catatan MFT, ada repositori linier dari deskriptor aliran (juga dinamai atribut), yang dikemas bersama dalam satu atau lebih catatan MFT (berisi daftar atribut yang disebut), dengan bantalan tambahan untuk mengisi perbaikan Ukuran 1 KB dari setiap catatan MFT, dan itu sepenuhnya menggambarkan aliran efektif yang terkait dengan file itu.