В настоящее время я использую procmon для отслеживания проблемы, которая у меня возникла с сетевыми файлами. Другой ПК в локальной сети записывает небольшие файлы "команд" на целевую машину, которая затем потребляет их - т. е. они считываются, обрабатываются и удаляются.
Есть еще один файл, который обновляется раз в секундуцельмашина и считывается другими сетевыми машинами.
После некоторого времени работы сетевые машины теряют доступ к файлу, который они считывают с целевой машины. Файл становится постоянно заблокированным — главная машина больше не может его обновлять (нарушение общего доступа). Проблема, по-видимому, связана с MsMpEng.exe (Microsoft Security Essentials), пытающимся захватить командный файл, когда он впервые появляется, но я хочу связать происходящее с входящими запросами. Procmon, похоже, их не показывает.
Можно ли настроить ProcMon для перехвата обращений к локальной файловой системе с сетевых машин? Связано ли это с таинственным блоком исключений, которые добавляются в новые фильтры по умолчанию?
решение1
из внутренних компонентов Windows
По умолчанию Procmon запускается в базовом режиме и не отображает некоторые операции файловой системы, в том числе:
- Ввод-вывод в файлы метаданных NTFS
- Ввод/вывод в файл подкачки
- Ввод-вывод, сгенерированный системным процессом
- Ввод-вывод, сгенерированный процессом монитора процессов.
Чтобы поймать входящий доступ к файлу из сети, вам нужно просмотреть ввод-вывод, сгенерированный процессом System. Чтобы иметь возможность просмотреть это, переключите Procmon в расширенный режим с помощью меню Filter -> Enable Advanced Output.