3

В настоящее время я использую procmon, чтобы найти проблему с сетевыми файлами. Другой компьютер в локальной сети записывает небольшие "командные" файлы на целевой компьютер, который затем использует их - то есть они считываются, обрабатываются и удаляются.

Существует также другой файл, который обновляется раз в секунду целевым компьютером и читается другими сетевыми машинами.

После некоторого времени работы сетевые машины теряют доступ к файлу, который они читают с целевой машины. Файл становится постоянно заблокированным - мастер-машина больше не может его обновлять (нарушение совместного доступа). Кажется, проблема связана с тем, что MsMpEng.exe (Microsoft Security Essentials) пытается получить командный файл при его первом появлении, но я хочу связать происходящее с входящими запросами. Procmon, кажется, не показывает это.

Можно ли настроить ProcMon для получения доступа к локальной файловой системе с сетевых компьютеров? Это связано с таинственным блоком исключений, которые по умолчанию добавляются в новые фильтры?

|источник

1 ответ1

3

из Windows Internals

По умолчанию Procmon запускается в базовом режиме и не отображает некоторые операции файловой системы, включая

  • Ввод / вывод файлов метаданных NTFS
  • Ввод / вывод в файл подкачки
  • Ввод / вывод, генерируемый системным процессом
  • Ввод / вывод, генерируемый процессом Process Monitor.

Чтобы получить доступ к входящему файлу из сети, вам нужно просмотреть ввод-вывод, сгенерированный процессом System. Чтобы увидеть это, переключите Procmon в расширенный режим, используя меню Filter -> Enable Advanced Output .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .