볼륨 변경 감지: 자세한 솔루션
NTFS 볼륨에서 파일 삭제, 수정 및 생성을 효과적으로 감지하려면 다음을 수행하세요. FSCTL_ENUM_USN_DATA 함수를 활용하세요. 이 접근 방식은 여러 가지 장점을 제공합니다.
구현 단계:
이 접근 방식을 보여주는 예제 C 프로그램이 아래에 제공되어 "test"라는 파일을 검색합니다. .txt"를 입력하고 변경 사항 및 상위 디렉터리에 대한 정보를 표시합니다.
<code class="c++">#include <Windows.h>
#include <stdio.h>
#define BUFFER_SIZE (1024 * 1024)
int main() {
HANDLE drive = CreateFileW(L"\\?\c:", GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_FLAG_NO_BUFFERING, NULL);
MFT_ENUM_DATA mft_enum_data;
USN maxusn;
USN_RECORD *record;
// Query USN journal for information
if (DeviceIoControl(drive, FSCTL_QUERY_USN_JOURNAL, NULL, 0, &maxusn, sizeof(USN), NULL, NULL)) {
mft_enum_data.StartFileReferenceNumber = 0;
mft_enum_data.LowUsn = 0;
mft_enum_data.HighUsn = maxusn;
DWORDLONG nextid, filecount = 0;
for (;;) {
void *buffer = VirtualAlloc(NULL, BUFFER_SIZE, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
if (DeviceIoControl(drive, FSCTL_ENUM_USN_DATA, &mft_enum_data, sizeof(mft_enum_data), buffer, BUFFER_SIZE, NULL, NULL)) {
nextid = *((DWORDLONG *)buffer);
record = (USN_RECORD *)((USN *)buffer + 1);
while (record < (USN_RECORD *)(((BYTE *)buffer) + BUFFER_SIZE)) {
filecount++;
WCHAR *filename = (WCHAR *)(((BYTE *)record) + record->FileNameOffset);
if (wcsncmp(filename, L"test.txt", 8) == 0) {
printf("=================================================================\n");
printf("RecordLength: %u\n", record->RecordLength);
printf("MajorVersion: %u\n", (DWORD)record->MajorVersion);
printf("MinorVersion: %u\n", (DWORD)record->MinorVersion);
printf("FileReferenceNumber: %lu\n", record->FileReferenceNumber);
printf("ParentFRN: %lu\n", record->ParentFileReferenceNumber);
printf("USN: %lu\n", record->Usn);
printf("Timestamp: %lu\n", record->TimeStamp);
printf("Reason: %u\n", record->Reason);
printf("SourceInfo: %u\n", record->SourceInfo);
printf("SecurityId: %u\n", record->SecurityId);
printf("FileAttributes: %x\n", record->FileAttributes);
printf("FileNameLength: %u\n", (DWORD)record->FileNameLength);
printf("FileName: %.*ls\n", record->FileNameLength, filename);
// Reconstruct file path by matching parent file reference numbers
DWORD bytecount;
if (DeviceIoControl(drive, FSCTL_ENUM_USN_DATA, &mft_enum_data, sizeof(mft_enum_data), buffer, BUFFER_SIZE, &bytecount, NULL)) {
USN_RECORD *parent_record = (USN_RECORD *)((USN *)buffer + 1);
if (parent_record->FileReferenceNumber == record->ParentFileReferenceNumber) {
printf("Parent File:\n");
printf("=================================================================\n");
printf("FileName: %.*ls\n", parent_record->FileNameLength, (WCHAR *)(((BYTE *)parent_record) + parent_record->FileNameOffset));
}
}
}
record = (USN_RECORD *)(((BYTE *)record) + record->RecordLength);
}
mft_enum_data.StartFileReferenceNumber = nextid;
} else {
printf("FSCTL_ENUM_USN_DATA failed\n");
break;
}
if (nextid == 0) break;
}
printf("Total Files: %lu\n", filecount);
} else {
printf("FSCTL_QUERY_USN_JOURNAL failed\n");
}
if (drive != INVALID_HANDLE_VALUE)
CloseHandle(drive);
return 0;
}</code>위 내용은 FSCTL_ENUM_USN_DATA 함수를 사용하여 NTFS 볼륨의 파일 변경 사항을 효율적으로 감지하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
