ProcMon - перехват доступа к файлам из сети
В настоящее время я использую procmon для поиска проблемы с сетевыми файлами. Другой компьютер в локальной сети записывает небольшие "командные" файлы на целевой компьютер, который затем использует их - то есть они считываются, обрабатываются и удаляются.
Существует также другой файл, который обновляется раз в секунду на целевой машине и читается другими сетевыми машинами.
После некоторого времени работы сетевые машины теряют доступ к файлу, который они читают с целевой машины. Файл становится постоянно заблокированным - мастер-машина больше не может его обновлять (нарушение общего доступа). Похоже, проблема связана с тем, что MsMpEng.exe (Microsoft Security Essentials) пытается захватить командный файл при его первом появлении, но я хочу связать происходящее с входящими запросами. Procmon, кажется, не показывает это.
Можно ли настроить ProcMon для получения доступа к локальной файловой системе с сетевых компьютеров? Это связано с таинственным блоком исключений, которые по умолчанию добавляются в новые фильтры?
1 ответ
из Windows Internals
По умолчанию Procmon запускается в основном режиме и не отображает некоторые операции файловой системы, включая
- Ввод / вывод в файлы метаданных NTFS
- Ввод / вывод в файл подкачки
- Ввод / вывод, сгенерированный системным процессом
- Ввод / вывод, генерируемый процессом Process Monitor.
Чтобы получить доступ к входящему файлу из сети, вам необходимо просмотреть ввод-вывод, сгенерированный процессом System. Чтобы увидеть это, переключите Procmon в расширенный режим с помощью меню Filter -> Enable Advanced Output,