저는 현재 네트워크 파일과 관련된 문제를 추적하기 위해 procmon을 사용하고 있습니다. 로컬 네트워크의 다른 PC는 작은 "명령" 파일을 대상 시스템에 기록한 다음 해당 파일을 사용합니다. 즉, 해당 파일을 읽고, 실행하고, 삭제합니다.
초당 한 번씩 업데이트되는 또 다른 파일도 있습니다.표적다른 네트워크 시스템에서 읽습니다.
일정 시간 동안 실행한 후 네트워크 시스템은 대상 시스템에서 읽고 있는 파일에 대한 액세스를 잃게 됩니다. 파일이 영구적으로 잠기므로 마스터 시스템이 더 이상 파일을 업데이트할 수 없습니다(공유 위반). 이 문제는 처음 나타날 때 명령 파일을 가져오려는 MsMpEng.exe(Microsoft Security Essentials)와 관련된 것으로 보이지만 들어오는 요청에 무슨 일이 일어나고 있는지 설명하고 싶습니다. Procmon은 이것을 보여주지 않는 것 같습니다.
네트워크 시스템에서 로컬 파일 시스템에 대한 액세스를 포착하도록 ProcMon을 구성할 수 있습니까? 기본적으로 새 필터에 추가되는 신비한 제외 블록과 묶여 있습니까?
답변1
Windows 내부에서
기본적으로 Procmon은 기본 모드에서 시작하고 다음을 포함한 특정 파일 시스템 작업이 표시되지 않도록 생략합니다.
- NTFS 메타데이터 파일에 대한 I/O
- 페이징 파일에 대한 I/O
- 시스템 프로세스에서 생성된 I/O
- 프로세스 모니터 프로세스에 의해 생성된 I/O입니다.
네트워크에서 들어오는 파일 액세스를 포착하려면 시스템 프로세스에서 생성된 I/O를 확인해야 합니다. 이를 보려면 메뉴를 사용하여 Procmon을 고급 모드로 전환하십시오 Filter -> Enable Advanced Output.