ProcMon - capture des accès aux fichiers entrants depuis le réseau


3

J'utilise actuellement procmon pour résoudre un problème lié aux fichiers réseau. Un autre PC du réseau local écrit de petits fichiers de "commande" sur la machine cible, qui les consomme ensuite - c’est-à-dire qu’ils sont lus, traités et supprimés.

Un autre fichier est également mis à jour une fois par seconde par la machine cible et lu par les autres machines du réseau.

Après avoir fonctionné pendant un certain temps, les ordinateurs du réseau perdent l'accès au fichier qu'ils lisent à partir de l'ordinateur cible. Le fichier est définitivement verrouillé - la machine principale ne peut plus le mettre à jour (violation de partage). Le problème semble être lié au fait que MsMpEng.exe (Microsoft Security Essentials) tente de récupérer un fichier de commande lorsqu’il apparaît pour la première fois, mais je souhaite relier ce qui se passe aux demandes entrantes. Procmon ne semble pas montrer cela.

ProcMon peut-il être configuré pour intercepter les accès au système de fichiers local à partir de machines réseau? Est-il lié au mystérieux bloc d'exclusions qui sont ajoutés aux nouveaux filtres par défaut?


Je crois que cela devrait être capturé dès que tout se passe à travers le pilote de filtre inséré par procmon. Avez-vous activé "Filtre -> Activer la sortie avancée"?
Lieven Keersmaekers

Hey, @Lieven, ça a fait l'affaire. Merci beaucoup. Voulez-vous en faire une réponse?
rossmcm

Réponses:


3

à partir de Windows Internals

Par défaut, Procmon démarre en mode de base et omet l'affichage de certaines opérations du système de fichiers, notamment

  • Fichiers de métadonnées d'E / S vers NTFS
  • I / O au fichier de pagination
  • E / S générées par le processus système
  • E / S générées par le Process Monitor Process.

Pour capturer l'accès aux fichiers entrants à partir du réseau, vous devez afficher les E / S générées par le processus système. Pour pouvoir visualiser cela, basculez Procmon en mode avancé en utilisant le menu Filter -> Enable Advanced Output.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.