web-dev-qa-db-ja.com

ProcMon-ネットワークからの着信ファイルアクセスをキャッチする

私は現在、ネットワークファイルに関連する問題を追跡するためにprocmonを使用しています。ローカルネットワーク上の別のPCは、小さな「コマンド」ファイルをターゲットマシンに書き込み、ターゲットマシンはそれらを消費します。つまり、それらは読み取られ、アクションが実行され、削除されます。

targetマシンによって1秒に1回更新され、他のネットワークマシンによって読み取られる別のファイルもあります。

しばらく実行した後、ネットワークマシンは、ターゲットマシンから読み取っているファイルにアクセスできなくなります。ファイルは永続的にロックされます-マスターマシンはそれを更新できなくなります(共有違反)。この問題は、MsMpEng.exe(Microsoft Security Essentials)が最初に表示されたときにコマンドファイルを取得しようとしたことに関連しているようですが、受信した要求に何が起こっているのかを関連付けたいと思います。 Procmonはこれらを表示していないようです。

ネットワークマシンからローカルファイルシステムへのアクセスをキャッチするようにProcMonを構成できますか?デフォルトで新しいフィルターに追加される除外の不思議なブロックと結びついていますか?

3
rossmcm

windowsInternalsから

デフォルトでは、Procmonは基本モードで起動し、特定のファイルシステム操作が表示されないようにします。

  • NTFSメタデータファイルへのI/O
  • ページングファイルへのI/O
  • システムプロセスによって生成されたI/O
  • プロセスモニタープロセスによって生成されたI/O。

ネットワークからの着信ファイルアクセスをキャッチするには、システムプロセスによって生成されたI/Oを表示する必要があります。これを表示できるようにするには、メニューFilter -> Enable Advanced Outputを使用してProcmonを詳細モードに切り替えます。

3