http://univasity.iteye.com/blog/805234
/** * 对Ntfs下USN操作的示例程序 * * author: univasity * qq: 595920004 * * --------------- 2010.11.10 * 1.修改lowUsn的问题,将原来的通过USN_JOURNAL获取,改为直接设置为0. *
USN是Update Service Number Journal or Change Journal的英文缩写,直译为“更新序列号”,是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时,建立NTFS 5.0的同时,加入了一些新功能和改进了旧版本的文件系统,为它请来了一位可靠的秘书,它可以在分区中设置监视更改的文件和目录的数量,记录下监视对象修改时间和修改内容。没错,它就是USN日志。当这个功能启用时,对于每一个NTFS卷,当发生有关添加、删除和修改文件的信息时,NTFS都使用USN日志记录下来。
NTFS秘书——USN日志的工作方式,相对来说很简单,所以非常的高效。它开始的时候是一个空文件,包括NTFS每个卷的信息。每当NTFS卷有改变的时候,所改变的信息会马上被添加到这个文件里。这其中,每条修改的记录都使用特定符号来标识为日志形式,也就是USN日志。每条日志,记录了包括文件名、文件信息做出的改变。怎样在系统中让秘书开始干活儿呢?如图2所示,在NTFS分区的图标上右击选择“属性”,勾选圈中部分即可。
USN秘书不仅工作高效,而且非常的忠诚,虽然这种忠诚看起来有点迫不得已。日志里包括发生了什么变化(添加、删除或其他操作),但并不会记录数据或其他变化的细节,所以它只能工作在NTFS文件系统中。
看到上面的描述,你也许还是比较难以理解,那么就举个例子说明一下。USN日志为什么不能在FAT32文件系统下运用呢?就像钢笔不能在宣纸上记录,只能在普通纸上记录一样。USN日志相当于一本书的索引,当然书里面内容发生添加、修改或删除的时候,USN日志会记录下来何时做了修改,并使用特定序列号来标识,但它并不会记录里面具体修改了什么东西,所以索引文件很小。而当你想查找某一篇文章时,你就不用一页一页去翻书,可以直接通过查找USN日志(也就是建立的索引)就知道这篇文章是否存在。
*/ #include <iostream> #include <Windows.h> #include <fstream> using namespace std; char* volName = "e:\"; // 驱动盘名称 HANDLE hVol; // 用于储存驱动盘句柄 USN_JOURNAL_DATA UsnInfo; // 用于储存USN日志的基本信息 #define BUF_LEN 4096 ofstream fout("H:\log.txt"); // 用来将数据记录到文本,方便查看 long counter = 0; int main(){ bool status; bool isNTFS = false; bool getHandleSuccess = false; bool initUsnJournalSuccess = false; /** * step 01. 判断驱动盘是否NTFS格式 * msdn:http://msdn.microsoft.com/en-us/library/aa364993%28VS.85%29.aspx */ char sysNameBuf[MAX_PATH] = {0}; status = GetVolumeInformationA(volName, NULL, // 驱动盘名缓冲,这里我们不需要 0, NULL, NULL, NULL, sysNameBuf, // 驱动盘的系统名(FAT/NTFS) MAX_PATH); if(0!=status){ printf("文件系统名: %s ", sysNameBuf); // 比较字符串 if(0==strcmp(sysNameBuf, "NTFS")){ isNTFS = true; }else{ printf("该驱动盘非NTFS格式 "); } } // 只有NTFS才有USN,才能进行操作 if(isNTFS){ /** * step 02. 获取驱动盘句柄 * msdn:http://msdn.microsoft.com/en-us/library/aa363858%28VS.85%29.aspx */ char fileName[MAX_PATH]; fileName[0] = '�'; // 传入的文件名必须为\.C:的形式 strcpy(fileName, "\\.\"); strcat(fileName, volName); // 为了方便操作,这里转为string进行去尾 string fileNameStr = (string)fileName; fileNameStr.erase(fileNameStr.find_last_of(":")+1); printf("驱动盘地址: %s ", fileNameStr.data()); // 调用该函数需要管理员权限 hVol = CreateFileA(fileNameStr.data(), GENERIC_READ | GENERIC_WRITE, // 可以为0 FILE_SHARE_READ | FILE_SHARE_WRITE, // 必须包含有FILE_SHARE_WRITE NULL, // 这里不需要 OPEN_EXISTING, // 必须包含OPEN_EXISTING, CREATE_ALWAYS可能会导致错误 FILE_ATTRIBUTE_READONLY, // FILE_ATTRIBUTE_NORMAL可能会导致错误 NULL); // 这里不需要 if(INVALID_HANDLE_VALUE!=hVol){ getHandleSuccess = true; }else{ printf("获取驱动盘句柄失败 —— handle:%x error:%d ", hVol, GetLastError()); } } if(getHandleSuccess){ /** * step 03. 初始化USN日志文件 * msdn:http://msdn.microsoft.com/en-us/library/aa364558%28v=VS.85%29.aspx */ DWORD br; CREATE_USN_JOURNAL_DATA cujd; cujd.MaximumSize = 0; // 0表示使用默认值 cujd.AllocationDelta = 0; // 0表示使用默认值 status = DeviceIoControl(hVol, FSCTL_CREATE_USN_JOURNAL, &cujd, sizeof(cujd), NULL, 0, &br, NULL); if(0!=status){ initUsnJournalSuccess = true; }else{ printf("初始化USN日志文件失败 —— status:%x error:%d ", status, GetLastError()); } } if(initUsnJournalSuccess){ bool getBasicInfoSuccess = false; /** * step 04. 获取USN日志基本信息(用于后续操作) * msdn:http://msdn.microsoft.com/en-us/library/aa364583%28v=VS.85%29.aspx */ DWORD br; status = DeviceIoControl(hVol, FSCTL_QUERY_USN_JOURNAL, NULL, 0, &UsnInfo, sizeof(USN_JOURNAL_DATA), &br, NULL); if(0!=status){ getBasicInfoSuccess = true; }else{ printf("获取USN日志基本信息失败 —— status:%x error:%d ", status, GetLastError()); } if(getBasicInfoSuccess){ printf("UsnJournalID: %xI64 ", UsnInfo.UsnJournalID); printf("lowUsn: %xI64 ", UsnInfo.FirstUsn); printf("highUsn: %xI64 ", UsnInfo.NextUsn); /** * step 05. 枚举USN日志文件中的所有记录 * msdn:http://msdn.microsoft.com/en-us/library/aa364563%28v=VS.85%29.aspx */ // from MSDN // On the first call, set the starting point, the StartFileReferenceNumber member of the MFT_ENUM_DATA structure, to (DWORDLONG)0. // Each call to FSCTL_ENUM_USN_DATA retrieves the starting point for the subsequent call as the first entry in the output buffer. MFT_ENUM_DATA med; med.StartFileReferenceNumber = 0; med.LowUsn = 0;//UsnInfo.FirstUsn; 这里经测试发现,如果用FirstUsn有时候不正确,导致获取到不完整的数据,还是直接写0好. med.HighUsn = UsnInfo.NextUsn; CHAR buffer[BUF_LEN]; // 用于储存记录的缓冲,尽量足够地大 DWORD usnDataSize; PUSN_RECORD UsnRecord; while(0!=DeviceIoControl(hVol, FSCTL_ENUM_USN_DATA, &med, sizeof(med), buffer, BUF_LEN, &usnDataSize, NULL)) { DWORD dwRetBytes = usnDataSize - sizeof(USN); // 找到第一个USN记录 // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx): // return a USN followed by zero or more change journal records, each in a USN_RECORD structure. UsnRecord = (PUSN_RECORD)(((PCHAR)buffer)+sizeof(USN)); printf(" ********************************** "); while(dwRetBytes>0){ // 打印获取到的信息 const int strLen = UsnRecord->FileNameLength; char fileName[MAX_PATH] = {0}; WideCharToMultiByte(CP_OEMCP,NULL,UsnRecord->FileName,strLen/2,fileName,strLen,NULL,FALSE); printf("FileName: %s ", fileName); // 下面两个file reference number可以用来获取文件的路径信息 printf("FileReferenceNumber: %xI64 ", UsnRecord->FileReferenceNumber); printf("ParentFileReferenceNumber: %xI64 ", UsnRecord->ParentFileReferenceNumber); printf(" "); fout << "FileName:" << fileName << endl; fout << "frn:" << UsnRecord->FileReferenceNumber << endl; fout << "pfrn:" << UsnRecord->ParentFileReferenceNumber << endl; fout << endl; counter++; // 获取下一个记录 DWORD recordLen = UsnRecord->RecordLength; dwRetBytes -= recordLen; UsnRecord = (PUSN_RECORD)(((PCHAR)UsnRecord)+recordLen); } //获取下一页数据,MTF大概是分多页来储存的吧? // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx): // The USN returned as the first item in the output buffer is the USN of the next record number to be retrieved. // Use this value to continue reading records from the end boundary forward. med.StartFileReferenceNumber = *(USN *)&buffer; } printf("共%d个文件 ", counter); fout << "共" << counter << "个文件" << endl; fout << flush; fout.close(); } /** * step 06. 删除USN日志文件(当然也可以不删除) * msdn:http://msdn.microsoft.com/en-us/library/aa364561%28v=VS.85%29.aspx */ DELETE_USN_JOURNAL_DATA dujd; dujd.UsnJournalID = UsnInfo.UsnJournalID; dujd.DeleteFlags = USN_DELETE_FLAG_DELETE; status = DeviceIoControl(hVol, FSCTL_DELETE_USN_JOURNAL, &dujd, sizeof(dujd), NULL, 0, &br, NULL); if(0!=status){ printf("成功删除USN日志文件! "); }else{ printf("删除USN日志文件失败 —— status:%x error:%d ", status, GetLastError()); } } // 最后释放一些资源 if(getHandleSuccess){ CloseHandle(hVol); } // 避免后台程序一闪而过 MessageBox(0, "按确定退出", "结束", MB_OK); return 0; }