Quais protocolos são usados para acesso de compartilhamento de rede

Navegue suas respostas
0

Eu quero descobrir como auditar o acesso a arquivos no Windows usando o acesso de compartilhamento de rede.

Eu tenho 2 computadores que executam o Windows 8 e que não estão em um domínio de diretório ativo. O computador 1 compartilhou uma pasta com Todos. Computador 2 copia arquivos do Computador 1 da pasta compartilhada.

Problema:EuesperavaveroIOlereventosnocomputador1(usando procmon ) mas isso não acontece. Sei que posso obter metadados de IO ao ativar acesso a arquivos monitorando , no entanto, que parecem ineficientes e difíceis de agregar com dados que recebo de um driver de sistema de arquivos minifilter (pense em leituras de arquivos procmon)

Perguntas:

  • Quais protocolos são usados no Computador 1 e 2 para acessar arquivos por meio de compartilhamentos de rede?
  • Por que os casos de IO não são exibidos no computador 1, quando o computador 2 acessa sua pasta compartilhada?
por oleksii 07.07.2017 / 16:46

1 resposta

3

What protocols are used on Computer 1 and 2 to access files via network shares?

O protocolo de compartilhamento de arquivos do Windows é chamado SMB, uma vez curto para "Server Message Block". Ele pode ser executado em uma camada "Sessão do NetBIOS" (porta TCP 139), mas mais comumente usado em TCP bruto (porta 445).

(A versão 1 também costumava ser chamada de "CIFS", embora eu saiba que o CIFS definido por padrões não é 100% idêntico ao Windows SMBv1.)

No Windows, o servidor SMB é executado como o LanmanServer service, dentro de um dos processos svchost.exe . (Não tenho certeza, mas acho que parte dele também pode ser um driver de kernel, que não apareceria no ProcMon devido a não fazer nenhuma chamada do sistema no nível em que o ProcMon está assistindo eles.)

    
por 07.07.2017 / 17:23

Tags

Baixe o php7 do slackware de linha de comando i5-2520M com 2c / t mostrando 4 núcleos no VirtualBox, o que isso significa?