O Process Monitor usa ganchos de API para interceptar chamadas de acesso ao arquivo / registro para a API. Ele os registra e os transmite para a API. Também é assim que a maioria dos antivírus e rootkits funcionam.
Mais informações: link
O Windows Server 2012, executando os Serviços de Terminal, tem um aplicativo cliente instalado. A parte do servidor está localizada em outro Windows Server 2012.
O aplicativo cliente é antigo, baseado no dBase.
O problema é que o aplicativo não pode criar e-mails usando o MAPI estendido do computador cliente.
Quando você tenta criar um email; um arquivo temporário é salvo em uma pasta compartilhada, localizada no host do servidor. Quando o Outlook (ou qualquer outro cliente de email) tenta anexar o PDF, o aplicativo apresenta a mensagem de erro "Ocorreu um erro durante o acesso ao arquivo". Portanto, a mensagem é originada do aplicativo, não do cliente de email.
Então, naturalmente, esperamos que isso seja um problema de permissões e acione o monitor de processos do sysinternals. Problema é. Agora você pode enviar e-mails. No segundo em que você desativa o login no procmon, recebe a mensagem de erro na sua próxima tentativa de enviar um email.
Isso funciona em outros ambientes, como o XP / Vista / Win7 - > Server2003 / 2008 Ocorre apenas com o Server 2012 - > Server 2012 Eu suspeito que o SMB3 esteja envolvido com isso de alguma forma.
Mas a questão é, o que realmente acontece quando você habilita o log com procmon? Porque o que o procmon faz - é o que eu quero usar como solução.
EDIT: Ah, também acontece com o Win8 - > Server2012
O Process Monitor usa ganchos de API para interceptar chamadas de acesso ao arquivo / registro para a API. Ele os registra e os transmite para a API. Também é assim que a maioria dos antivírus e rootkits funcionam.
Mais informações: link