Wie können Sie Dateiänderungen auf einem NTFS-Volume mithilfe von FSCTL_ENUM_USN

Wie können Sie Dateiänderungen auf einem NTFS-Volume mithilfe von FSCTL_ENUM_USN_DATA effizient erkennen?

Patricia Arquette

Freigeben： 2024-10-30 13:03:26

Original

886 Leute haben es durchsucht

How Can You Efficiently Detect File Changes on an NTFS Volume Using FSCTL_ENUM_USN_DATA?

Effiziente Erkennung von Dateiänderungen auf einem NTFS-Volume mithilfe von FSCTL_ENUM_USN_DATA

Hintergrund

Bestehende Sicherungsmethoden, die das Archivbit jeder Datei überprüfen, können langsam und langsam werden ineffizient für große Dateisysteme. Dieser Ansatz erfordert das Scannen aller Dateien, einschließlich temporärer Dateien, und kann zu langwierigen Sicherungsvorgängen führen.

Alternativer Ansatz mit Dateisystem-USN

Eine effizientere Methode ist die Verwendung der Dateisystem-USN (Update Sequence). Nummer) Änderungsjournal. Das Dateisystem USN stellt einen Datensatz für jede am Dateisystem vorgenommene Änderung bereit, einschließlich der Erstellung, Löschung und Änderung von Dateien.

Funktionsweise von FSCTL_ENUM_USN_DATA

Um Änderungen auf einem NTFS-Volume zu erkennen, können wir das verwenden FSCTL_ENUM_USN_DATA Steuercode. Dieser Steuercode:

Listet alle Dateien auf einem Volume auf, einschließlich nur der aktuell vorhandenen.
Ruft kritische Daten für jede Datei ab, einschließlich:
- Datei-Flags
- USN
- Dateinamen
- Referenznummern der übergeordneten Dateien

Änderungserkennung wird implementiert

Um Änderungen zu erkennen:

USN-Daten des Dateisystems abrufen: Verwenden Sie FSCTL_QUERY_USN_JOURNAL, um die maximale USN des Systems (maxusn) abzurufen.
USN-Datensätze aufzählen: Verwenden Sie eine Schleife, um USN-Datensätze mithilfe von FSCTL_ENUM_USN_DATA zu durchlaufen.
relevante Datensätze identifizieren: Überprüfen Sie Flags und vergleichen Sie USNs, um erstellte, gelöschte oder geänderte Dateien zu erkennen.
Übergeordnete Pfade auflösen: Vergleichen Sie die Referenznummern der übergeordneten Dateien mit den Dateireferenznummern von Verzeichnissen, um vollständige Dateipfade zu erhalten.

Codebeispiel in C

Hier ist ein Codeausschnitt, der den Ansatz demonstriert:

<code class="c++">DWORDLONG nextid;
DWORDLONG filecount = 0;
DWORD starttick, endtick;

// Allocate memory for USN records
void * buffer = VirtualAlloc(NULL, BUFFER_SIZE, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

// Open volume handle
HANDLE drive = CreateFile(L"\\?\c:", GENERIC_READ, FILE_SHARE_DELETE | FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_FLAG_NO_BUFFERING, NULL);

// Get volume USN journal data
USN_JOURNAL_DATA * journal = (USN_JOURNAL_DATA *)buffer;
if (!DeviceIoControl(drive, FSCTL_QUERY_USN_JOURNAL, NULL, 0, buffer, BUFFER_SIZE, &bytecount, NULL)) {
  (...)
}
maxusn = journal->MaxUsn;

MFT_ENUM_DATA mft_enum_data;
mft_enum_data.StartFileReferenceNumber = 0;
mft_enum_data.LowUsn = 0;
mft_enum_data.HighUsn = maxusn;

while (...) {
  if (!DeviceIoControl(drive, FSCTL_ENUM_USN_DATA, &mft_enum_data, sizeof(mft_enum_data), buffer, BUFFER_SIZE, &bytecount, NULL)) {
    (...)
  }

  nextid = *((DWORDLONG *)buffer);
  USN_RECORD * record = (USN_RECORD *)((USN *)buffer + 1);
  USN_RECORD * recordend = (USN_RECORD *)(((BYTE *)buffer) + bytecount);

  while (record < recordend) {
    filecount++;
    // Check flags and USNs to identify changes
    (...)
    record = (USN_RECORD *)(((BYTE *)record) + record->RecordLength);
  }
  mft_enum_data.StartFileReferenceNumber = nextid;
}</code>

Nach dem Login kopieren

Leistungsüberlegungen

Der Ansatz mit FSCTL_ENUM_USN_DATA bietet:

Schneller Aufzählungsprozess: Kann über 6000 Datensätze pro Sekunde verarbeiten.
Effiziente Filterung:Nur relevante Dateiänderungsdatensätze werden analysiert, wodurch Overhead durch temporäre Dateien entfällt.
Potenziell Einschränkungen:Die Leistung kann auf sehr großen Volumes variieren, ist aber im Allgemeinen effizienter als die Überprüfung von Archivbits.

Zusätzliche Hinweise

Ersetzen Sie MFT_ENUM_DATA durch MFT_ENUM_DATA_V0 unter Windows Versionen später als Windows 7.
Dateireferenznummern werden als 32-Bit gedruckt, was ein Fehler ist. Im Produktionscode wird die Verwendung von 64-Bit-Werten empfohlen.

Das obige ist der detaillierte Inhalt vonWie können Sie Dateiänderungen auf einem NTFS-Volume mithilfe von FSCTL_ENUM_USN_DATA effizient erkennen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!