現在、ネットワーク ファイルに関連する問題を追跡するために procmon を使用しています。ローカル ネットワーク上の別の PC が小さな「コマンド」ファイルをターゲット マシンに書き込み、ターゲット マシンがそれを消費します (つまり、読み取り、アクション、削除が行われます)。
また、1秒ごとに更新される別のファイルもあります。目標マシンにアップロードされ、他のネットワーク マシンによって読み取られます。
しばらく実行した後、ネットワーク マシンはターゲット マシンから読み取っているファイルにアクセスできなくなります。ファイルは永久にロックされ、マスター マシンはそれを更新できなくなります (共有違反)。この問題は、MsMpEng.exe (Microsoft Security Essentials) が最初に表示されたときにコマンド ファイルを取得しようとすることに関係しているようですが、着信要求に何が起きているのかを知りたいです。Procmon ではこれらが表示されないようです。
ProcMon は、ネットワーク マシンからローカル ファイル システムへのアクセスをキャッチするように構成できますか? これは、デフォルトで新しいフィルターに追加される除外の不可解なブロックと関連しているのでしょうか?
答え1
Windows 内部から
デフォルトでは、Procmonは基本モードで起動し、次のような特定のファイルシステム操作は表示されません。
- NTFS メタデータ ファイルへの I/O
- ページングファイルへのI/O
- システムプロセスによって生成されたI/O
- プロセス モニター プロセスによって生成された I/O。
ネットワークからのファイル アクセスをキャッチするには、システム プロセスによって生成された I/O を表示する必要があります。それを表示するには、メニューを使用して Procmon を詳細モードに切り替えますFilter -> Enable Advanced Output。