读书人
栏目

Everything研究之读取NTFS上的USN日志

发布时间: 2012-09-14 23:00:49 作者: rapoo

Everything研究之读取NTFS下的USN日志文件(1)

GetVolumeInformation(

? lpRootPathName:PChar;??????????????{磁盘驱动器代码字符串}

? lpVolumeNameBuffer:PChar;?????????? {磁盘驱动器卷标名称}

? nVolumeNameSize:DWORD;?????????????{磁盘驱动器卷标名称长度}

? lpVolumeSerialNumber:PDWORD;??????? {磁盘驱动器卷标序列号}

? varlpMaximumComponentLength: DWORD; {系统允许的最大文件名长度}

? varlpFileSystemFlags: DWORD;??????? {文件系统标识}

? lpFileSystemNameBuffer:PChar;?????? {文件操作系统名称}

? nFileSystemNameSize:DWORD?????????? {文件操作系统名称长度}

): BOOL;

Everything研究之读取NTFS上的USN日志文件(1)

下面给出C++的实现作为参考:

?
?
The caller must     have administrative privileges. For more information, see Running     with Special Privileges.
  • The dwCreationDisposition     parameter must have the OPEN_EXISTINGflag.
  • When opening a     volume or floppy disk, the dwShareMode     parameter must have the FILE_SHARE_WRITEflag.
    照样贴上例子(我很少用C++,写得不好,仅参考):
    ?
    第三步:打开USN Journal文件
    MSDN:http://msdn.microsoft.com/en-us/library/aa364558%28v=VS.85%29.aspx
    ?
    ?
    代码参考:
    ?
    这时如果你能成功创建USN日志,那么对USN的探索即将开始
    ?
    >>目前你手上有的资源是:
    ?
    • 读书人网 >VSTS

    热点推荐

    触屏版 | 电脑版

    读书人网 m.reader8.com