Actualmente estoy usando procmon para solucionar un problema que tengo relacionado con archivos de red. Otro PC de la red local escribe pequeños archivos de "comandos" en la máquina de destino, que luego los consume, es decir, se leen, se ejecutan y se eliminan.
También hay otro archivo que el sistema actualiza una vez por segundo.objetivomáquina y leído por las otras máquinas de la red.
Después de ejecutarse durante algún tiempo, las máquinas de la red pierden el acceso al archivo que están leyendo desde la máquina de destino. El archivo queda bloqueado permanentemente: la máquina maestra ya no puede actualizarlo (infracción de uso compartido). El problema parece estar relacionado con MsMpEng.exe (Microsoft Security Essentials) que intenta capturar un archivo de comando cuando aparece por primera vez, pero quiero relacionar lo que está sucediendo con las solicitudes entrantes. Procmon no parece mostrarlos.
¿Se puede configurar ProcMon para capturar accesos al sistema de archivos local desde máquinas de la red? ¿Está relacionado con el misterioso bloque de exclusiones que se agregan a los nuevos filtros de forma predeterminada?
Respuesta1
de los componentes internos de Windows
De forma predeterminada, Procmon se inicia en modo básico y omite que se muestren ciertas operaciones del sistema de archivos, incluidas
- E/S a archivos de metadatos NTFS
- E/S al archivo de paginación
- E/S generada por el proceso del sistema
- E/S generadas por el Proceso Monitor de Proceso.
Para capturar el acceso a archivos entrantes desde la red, necesita ver las E/S generadas por el proceso del sistema. Para poder ver eso, cambie Procmon al modo avanzado usando el menú Filter -> Enable Advanced Output.