什么是C：\ $ Directory？

运行Process Monitor时，我看到ReadFile发送到的请求C:\$Directory。

这到底是什么意思？

更新：

我也看到了$MapAttributeValue，它看起来也很陌生。

更新：我进一步研究了这个问题（因为我在自己的计算机上注意到了相同的行为，并且担心这是某种恶意软件），现在我相信我的原始答案实际上是错误的。这是我现在发现的：

1. 几个不同的过程从该文件中读取，并且从不同的偏移量读取，但是具有相同的长度：4K（恰好是一个内存页）。
2. 有ReadFile操作，但没有打开文件，这没有什么意义。
3. 查看堆栈跟踪，我发现所有请求都在跟踪中包含页面错误，例如，此文件读取在内部IoPageRead()，内核函数将页面文件从页面文件读取到内存中。
4. 这些读取发生在我系统上的C：\ $ Directory和V：\ $ Directory上，这两个驱动器上都保存有分页文件，其他地方都没有。

基于这项研究，我坚信这种“文件读取”是某种Process Monitor工件，真正的读取发生在页面文件中。我不知道为什么ProcMon将该路径列为C：\ $ Directory。

我现在不认为此C：\ $ Directory是真正的NTFS图元文件。我现在不认为这可能是非法活动（病毒或其他恶意软件）。

$ Directory和$ MapAttributeValue最有可能是NTFS磁盘上系统区域的代号，这些引用来自打开或创建文件的程序。

这些名称可能与图元文件有关，由维基百科定义为：

NTFS包含几个定义和组织文件系统的文件。在所有方面，大多数这些文件的结构都与其他任何用户文件一样（$ Volume是最特殊的），但文件系统客户端并不直接感兴趣。这些图元文件定义文件，备份关键文件系统数据，缓冲文件系统更改，管理可用空间分配，满足BIOS预期，跟踪错误的分配单位以及存储安全性和磁盘空间使用信息。除非另有说明，否则所有内容都在未命名的数据流中。

$ Directory最有可能是主文件表（MFT），它是所有文件和文件夹的目录，其中文件名，创建日期，访问权限（通过使用访问控制列表）和大小作为元数据存储在其中。任何打开或创建文件或文件夹的程序都将访问磁盘的该区域。

$ MapAttributeValue很可能是“ 属性列表”区域，描述为：

对于MFT记录中描述的每个文件（或目录），都有一个线性的流描述符存储库（也称为属性），打包在一起存储在一个或多个MFT记录中（包含所谓的属性列表），并带有额外的填充以填充固定的每个MFT记录的大小为1 KB，并且完全描述了与该文件关联的有效流。