O que é o diretório C: \ $?

Quando executo o Process Monitor , vejo ReadFilesolicitações enviadas para C:\$Directory.

O que exatamente isso significa?

Atualizar:

Eu também vejo $MapAttributeValue, o que parece estranho também.

Atualização: pesquisei mais sobre esse problema (já que notei o mesmo comportamento no meu próprio computador e fiquei preocupado que isso fosse algum tipo de malware), e agora acredito que minha resposta original estava de fato incorreta. Aqui está o que eu encontrei agora:

1. Vários processos diferentes leram esse arquivo e de diferentes compensações, mas com o mesmo comprimento: 4K (exatamente uma página de memória).
2. Existem operações ReadFile, mas nenhuma abertura do arquivo, o que faz pouco sentido.
3. Observando o rastreamento de pilha, vejo que todas as solicitações incluem uma falha de página no rastreamento, por exemplo, a leitura deste arquivo está dentro IoPageRead(), a função do kernel que lê as páginas do arquivo de paginação na memória.
4. Essas leituras acontecem no diretório C: \ $ e no diretório V: \ $ no meu sistema, nas duas unidades que contêm arquivos de paginação e em nenhum outro lugar.

Com base nesta pesquisa, acredito firmemente que esse "arquivo lido" é algum tipo de artefato do Process Monitor, e a leitura real acontece no arquivo de paginação. Não faço ideia por que o ProcMon lista o caminho como C: \ $ Directory.

Agora não acho que esse diretório C: \ $ seja um metarquivo NTFS real . Não acho que agora isso possa ser uma atividade ilegítima (vírus ou outro malware).

$ Directory e $ MapAttributeValue são provavelmente nomes de código para áreas do sistema no disco NTFS , e essas referências vêm de programas que abrem ou criam arquivos.

Esses nomes provavelmente pertencem aos metarquivos , definidos pela wikipedia como:

O NTFS contém vários arquivos que definem e organizam o sistema de arquivos. Em todos os aspectos, a maioria desses arquivos é estruturada como qualquer outro arquivo de usuário ($ Volume sendo o mais peculiar), mas não interessa diretamente aos clientes do sistema de arquivos. Esses metarquivos definem arquivos, fazem backup de dados críticos do sistema de arquivos, alteram o sistema de arquivos em buffer, gerenciam a alocação de espaço livre, atendem às expectativas do BIOS, rastreiam unidades de alocação incorreta e armazenam informações de segurança e uso do espaço em disco. Todo o conteúdo está em um fluxo de dados sem nome, salvo indicação em contrário.

$ Directory é provavelmente a MFT ( tabela de arquivos mestre ) que é o diretório de todos os arquivos e pastas, onde são armazenados como metadados o nome do arquivo, a data de criação, as permissões de acesso (pelo uso de listas de controle de acesso) e o tamanho. Qualquer programa que abre ou cria um arquivo ou pasta acessa essa área do disco.

$ MapAttributeValue é provavelmente a área de listas de atributos , descrita como:

Para cada arquivo (ou diretório) descrito no registro MFT, há um repositório linear de descritores de fluxo (também chamados de atributos), agrupados em um ou mais registros MFT (contendo a chamada lista de atributos), com preenchimento extra para preencher os Tamanho de 1 KB de cada registro MFT e que descreve completamente os fluxos efetivos associados a esse arquivo.