winapi - 在 Windows 10 上浏览 NTFS 更改日志-6ren

winapi - 在 Windows 10 上浏览 NTFS 更改日志

转载作者：行者123 更新时间：2023-12-03 14:59:35

26

4

我正在尝试阅读 NTFS 更改日志，但我注意到我能找到的所有示例代码在 Windows 10 上都失败了，即使它在 Windows 7 上也能运行。

比如微软自己的例子Walking a Buffer of Change Journal Records适用于 Windows 7 但当我在 Windows 10 上运行相同的代码时，当我使用 FSCTL_READ_USN_JOURNAL 调用 DeviceIoControl 时，我收到错误 87(参数不正确)(请注意，较早使用 FSCTL_QUERY_USN_JOURNAL 对 DeviceIoControl 的调用成功完成并返回有效数据。)。

我什至将 EXE 编译并在 Windows 7 上运行并将其复制到 Windows 10 机器，但它仍然失败，所以我相信 Windows 10 可能对参数验证或类似的东西更严格？

我以管理员身份运行代码，所以这不是问题。

我找不到对此问题的任何其他引用，但是如果我采用其他人的示例代码并尝试在 Windows 10 上运行它，我会遇到同样的问题。

编辑:

代码本身:

#include <Windows.h>
#include <WinIoCtl.h>
#include <stdio.h>

#define BUF_LEN 4096

void main()
{
   HANDLE hVol;
   CHAR Buffer[BUF_LEN];

   USN_JOURNAL_DATA JournalData;
   READ_USN_JOURNAL_DATA ReadData = {0, 0xFFFFFFFF, FALSE, 0, 0};
   PUSN_RECORD UsnRecord;  

   DWORD dwBytes;
   DWORD dwRetBytes;
   int I;

   hVol = CreateFile( TEXT("\\\\.\\c:"), 
               GENERIC_READ | GENERIC_WRITE, 
               FILE_SHARE_READ | FILE_SHARE_WRITE,
               NULL,
               OPEN_EXISTING,
               0,
               NULL);

   if( hVol == INVALID_HANDLE_VALUE )
   {
      printf("CreateFile failed (%d)\n", GetLastError());
      return;
   }

   if( !DeviceIoControl( hVol, 
          FSCTL_QUERY_USN_JOURNAL, 
          NULL,
          0,
          &JournalData,
          sizeof(JournalData),
          &dwBytes,
          NULL) )
   {
      printf( "Query journal failed (%d)\n", GetLastError());
      return;
   }

   ReadData.UsnJournalID = JournalData.UsnJournalID;

   printf( "Journal ID: %I64x\n", JournalData.UsnJournalID );
   printf( "FirstUsn: %I64x\n\n", JournalData.FirstUsn );

   for(I=0; I<=10; I++)
   {
      memset( Buffer, 0, BUF_LEN );

      if( !DeviceIoControl( hVol, 
            FSCTL_READ_USN_JOURNAL, 
            &ReadData,
            sizeof(ReadData),
            &Buffer,
            BUF_LEN,
            &dwBytes,
            NULL) )
      {
         printf( "Read journal failed (%d)\n", GetLastError());
         return;
      }

      dwRetBytes = dwBytes - sizeof(USN);

      // Find the first record
      UsnRecord = (PUSN_RECORD)(((PUCHAR)Buffer) + sizeof(USN));  

      printf( "****************************************\n");

      // This loop could go on for a long time, given the current buffer size.
      while( dwRetBytes > 0 )
      {
         printf( "USN: %I64x\n", UsnRecord->Usn );
         printf("File name: %.*S\n", 
                  UsnRecord->FileNameLength/2, 
                  UsnRecord->FileName );
         printf( "Reason: %x\n", UsnRecord->Reason );
         printf( "\n" );

         dwRetBytes -= UsnRecord->RecordLength;

         // Find the next record
         UsnRecord = (PUSN_RECORD)(((PCHAR)UsnRecord) + 
                  UsnRecord->RecordLength); 
      }
      // Update starting USN for next call
      ReadData.StartUsn = *(USN *)&Buffer; 
   }

   CloseHandle(hVol);
}

最佳答案

我已经设法弄清楚问题是什么。

示例 Microsoft 代码创建了一个定义为 READ_USN_JOURNAL_DATA 的局部变量，其定义为:

#if (NTDDI_VERSION >= NTDDI_WIN8)
typedef READ_USN_JOURNAL_DATA_V1 READ_USN_JOURNAL_DATA, *PREAD_USN_JOURNAL_DATA;
#else
typedef READ_USN_JOURNAL_DATA_V0 READ_USN_JOURNAL_DATA, *PREAD_USN_JOURNAL_DATA;
#endif

在我的系统(Win10 和 Win7 系统)上，这评估为 READ_USN_JOURNAL_DATA_V1。

查看 READ_USN_JOURNAL_DATA_V0 和 READ_USN_JOURNAL_DATA_V1 之间的差异，我们可以看到 V0 定义为:

typedef struct {
    USN StartUsn;
    DWORD ReasonMask;
    DWORD ReturnOnlyOnClose;
    DWORDLONG Timeout;
    DWORDLONG BytesToWaitFor;
    DWORDLONG UsnJournalID;
} READ_USN_JOURNAL_DATA_V0, *PREAD_USN_JOURNAL_DATA_V0;

V1 版本定义为:

typedef struct {
    USN StartUsn;
    DWORD ReasonMask;
    DWORD ReturnOnlyOnClose;
    DWORDLONG Timeout;
    DWORDLONG BytesToWaitFor;
    DWORDLONG UsnJournalID;
    WORD   MinMajorVersion;
    WORD   MaxMajorVersion;
} READ_USN_JOURNAL_DATA_V1, *PREAD_USN_JOURNAL_DATA_V1;

请注意新的 Min 和 Max Major 版本成员。

因此，Microsoft 代码定义了一个名为 ReadData 的局部变量，它实际上是一个 V1 结构，但它似乎在假设它是 V0 结构的情况下填充数据。即它不设置 Min 和 Max 元素。

看来Win7对此没问题，但Win10拒绝它并返回错误87(参数不正确)。

果然，如果我将 ReadData 变量明确定义为 READ_USN_JOURNAL_DATA_V0，那么该代码适用于 Win7 和 Win10，而如果我将其明确定义为 READ_USN_JOURNAL_DATA_V1，则它继续适用于 Win7，但不适用于 Win10。

奇怪的是 READ_USN_JOURNAL_DATA_V1 structure的API文档声明它仅在 Windows 8 上受支持，因此它完全适用于 Windows 7 很奇怪。我想它只是将它解释为 READ_USN_JOURNAL_DATA_V0 结构，因为 V1 版本是 V0 结构的扩展。如果是这样，那么它必须忽略传递到 DeviceIOControl 的大小参数。

无论如何，现在都在工作。我希望将来有人会发现这是一个有用的引用。

关于winapi - 在 Windows 10 上浏览 NTFS 更改日志，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46978678/

26

4

0

文章推荐： asp.net-mvc-4 - 从 ASP.NET MVC 操作调用 ConfigureAwait

文章推荐： delphi - 为什么导入的类型库函数与原始源不同？

文章推荐： delphi - 如何将我的应用程序静音？

文章推荐： apache - apache可以处理的Web服务器最大用户数？

winapi - winapi 句柄是全局的吗？
一个非常简单的问题，如果我创建一个 HANDLE在 app1.exe 中，它得到值 0x01这个值是全局唯一的吗？或者当其他一些进程创建一个 HANDLE 时是否有可能？也有值(value) 0x0
winapi - WinAPI OpenQuery产生错误
我正在使用winapi-rs crate并尝试获取cpu的使用率，但是我什至无法做到这一点。 PdhCollectQueryData转换为十六进制时将返回“-2147481643”，然后错误代码为“0
winapi - 自定义控件，winapi
有人可以告诉我，在 winapi 中将进度条作为 TreeView 控件的一部分是否现实？我使用 GTK 制作了一个 GUI，并且使用进度条作为单元格元素效果很好，如下图所示。我没有开发自定义控件的
winapi - 在 WINAPI 中是否有用于主机解析的非阻塞方法？
有 getaddrinfo() 用于阻止主机解析，但是否有非阻塞方法？最佳答案我不认为有这样的事情，但你总是可以将它包装在一个线程中并使用信号量来表示完成。关于winapi - 在 WINAPI
winapi - 使用 WinAPI 获取与正在运行的应用程序关联的图标
如果我知道 Hwnd，如何获取正在运行的应用程序的图标？最佳答案如果你有窗口的句柄，你可以使用 GetClassLong : HICON icon = (HICON)GetClassLong(wi
winapi - 为什么从 winapi 复制到我的代码中的结构定义没有相同的行为？
我正在尝试阅读 IMAGE_DOS_HEADER使用 definition of that structure 的模块来自 winapi箱。这是我的工作代码: let mut IDH: IMAGE_
winapi - 渲染音频流(WASAPI/WINAPI)
我目前正在阅读MSDN的文档，以将流渲染到音频渲染器。换句话说，就是从麦克风播放我捕获的数据。 http://msdn.microsoft.com/en-us/library/dd316756%28
winapi - 使用 WINAPI 而不是鼠标强制显示工具提示
我有一个问题，希望你能帮我解决。已经没有我的研究运气了...尝试过 stackoverflow、google，甚至 yahoo... 如何在不使用鼠标的情况下强制显示工具提示？我目前正在实现一些窗口
winapi - 使用 WinAPI 函数时垃圾收集器崩溃
在 D 中，每次启动应用程序时，我的垃圾收集器都会崩溃。 Windows 模块: pragma(lib, "user32.lib"); import std.string; extern(Window
winapi - 在 WinAPI C++ 中绘制形状
我正在学习 WinAPI C++ 的绘图形状我试图在 WM_PAINT 上用一些代码绘制 2 个椭圆: PAINTSTRUCT ps; HDC hdc = BeginPaint(hWnd, &ps)
winapi - 使用 PostMessage 模拟鼠标事件而不获得焦点(WINAPI)
我使用 PostMessage 模拟鼠标事件并在记事本应用程序上进行了测试。我不想通过发送鼠标事件来获得记事本应用程序的焦点。仅当我在 PostMessage 参数中使用记事本的 ChildWin
winapi - Win32 WinAPI EditBoX 样式
如何使用 Win32 WinAPI 创建一个 EditBox，使其看起来像在 Visual C# 或 VB 中的 VS 设计器中放置一个编辑框(具有漂亮的顶部边框等)？这是一张图片，展示了它的外观以及
winapi - 为什么存在 CopyRect WinAPI 函数？
有CopyRect WinAPI function ，它只是复制一个 RECT到另一个。自从我挖掘它以来，我一直对这个函数存在的原因很感兴趣。是赋值运算符 ( = ) 还是 CopyMemory功
winapi - 将寄存器/整数打印到控制台 | FASM | WinAPI
只是想知道是否有一种方法可以将数字打印到控制台通过调用。它可以是 10 进制，也可以是十六进制，我不介意。我想看看一些函数返回的格式。我宁愿不使用 WriteConsole 和大量 asm 来做这
winapi - 使用可变字符串调用 GetUserName WinAPI 函数不会填充字符串
这似乎部分有效，但我无法获取要打印的字符串值 pub fn test() { let mut buf: Vec = vec![0; 64]; let mut sz: DWORD = 0
winapi - 在 *.VBS 文件中导入 WinAPI 函数
在 Excel 中使用 Visual Basic，我可以使用 DECLARE 关键字声明 WinAPI 函数 - 例如 Declare Function SetLocaleInfo Lib "kern
winapi - 在 Rust 中使用 winapi 从窗口获取位图
..嗨，我有这个代码: #[cfg(windows)] extern crate winapi; use winapi::um::winuser::{FindWindowW, GetClientRec
winapi - 如何使用 WinAPI 获取 MessageBox 图标
我有一个 WH_CALLWNDPROC Hook 代码，它处理 WM_INITDIALOG 消息以获取有关消息框的信息。我可以获得“消息”、“标题”、“按钮”，但无法获得“图标”信息。我正在尝试使用如
winapi - 从 2 个 winapi 调用返回不一致的错误
这是我的源代码: extern crate user32; extern crate kernel32; use std::io::prelude::*; use std::net::TcpStrea
winapi - WinAPI 中的 HANDLE 和 HFILE 有什么区别？
WinAPI OpenFile 函数返回 HFILE，例如 GetFileTime 需要 HANDLE。当我用 (HANDLE)some_hFile 喂它时，它似乎工作正常。这种类型有什么不同吗，或者

首页

博学

6Ren·AI

商城

winapi - 在 Windows 10 上浏览 NTFS 更改日志