Atualmente estou usando o procmon para solucionar um problema que estou tendo envolvendo arquivos de rede. Outro PC na rede local grava pequenos arquivos de “comando” na máquina alvo, que então os consome – ou seja, eles são lidos, acionados e excluídos.
Há também outro arquivo que é atualizado uma vez por segundo peloalvomáquina e lida pelas outras máquinas da rede.
Depois de algum tempo em execução, as máquinas da rede perdem o acesso ao arquivo que estão lendo na máquina de destino. O arquivo fica permanentemente bloqueado - a máquina mestre não pode mais atualizá-lo (violação de compartilhamento). O problema parece estar relacionado ao MsMpEng.exe (Microsoft Security Essentials) tentando capturar um arquivo de comando quando ele aparece pela primeira vez, mas quero relacionar o que está acontecendo com as solicitações recebidas. Procmon não parece mostrar isso.
O ProcMon pode ser configurado para capturar acessos ao sistema de arquivos local de máquinas da rede? Está relacionado ao misterioso bloco de exclusões que são adicionadas aos novos filtros por padrão?
Responder1
do Windows interno
Por padrão, o Procmon inicia no modo básico e omite a exibição de certas operações do sistema de arquivos, incluindo
- E/S para arquivos de metadados NTFS
- E/S para o arquivo de paginação
- E/S gerada pelo processo do sistema
- E/S gerada pelo Process Monitor Process.
Para capturar o acesso a arquivos recebidos da rede, você precisa visualizar a E/S gerada pelo processo do sistema. Para poder visualizar isso, mude o Procmon para o Modo Avançado usando o menu Filter -> Enable Advanced Output.