我目前正在使用 procmon 來解決涉及網路文件的問題。本機網路上的另一台 PC 將小型「命令」文件寫入目標計算機,然後目標計算機會使用這些文件,即讀取、操作和刪除這些文件。
還有另一個文件每秒更新一次目標機器並由其他網路機器讀取。
運行一段時間後,網路電腦將無法存取它們從目標電腦讀取的檔案。檔案被永久鎖定 - 主機無法再更新它(共享衝突)。該問題似乎與 MsMpEng.exe(Microsoft Security Essentials)在命令檔案首次出現時嘗試獲取命令檔有關,但我想將發生的情況與傳入請求相關聯。 Procmon 似乎沒有顯示這些。
ProcMon 是否可以設定為捕獲網路電腦對本機檔案系統的存取?它是否與預設添加到新過濾器中的神秘排除塊有關?
答案1
來自 Windows 內部
預設情況下,Procmon 以基本模式啟動,並省略顯示某些檔案系統操作,包括
- I/O 到 NTFS 元資料文件
- 分頁文件的 I/O
- 系統進程產生的I/O
- 由 Process Monitor 進程產生的 I/O。
要捕獲來自網路的傳入檔案訪問,您需要查看系統進程產生的 I/O。為了能夠查看該內容,請使用選單將 Procmon 切換到進階模式Filter -> Enable Advanced Output。