文件监控系统设计(2)-"Windows 文件监控API"

最新推荐文章于 2023-10-22 06:55:10 发布
最新推荐文章于 2023-10-22 06:55:10 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: Intern 文章标签: windows file buffer action string events
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iatbst/article/details/6663373
版权
今天浅谈一下windows 下文件监控API 函数- ReadDirectoryChangesW() 的使用。

1 函数声明
BOOL WINAPI ReadDirectoryChangesW(
  __in         HANDLE hDirectory,
  __out        LPVOID lpBuffer,
  __in         DWORD nBufferLength,
  __in         BOOL bWatchSubtree,
  __in         DWORD dwNotifyFilter,
  __out_opt    LPDWORD lpBytesReturned,
  __inout_opt  LPOVERLAPPED lpOverlapped,
  __in_opt     LPOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
);
2 参数说明
   
hDirectory:需要监控的文件夹的句柄 (文件夹用CreateFile打开是要添加 FILE_LIST_DIRECTORY 选项)
lpBuffer: 指向自定义的buffer的指针 ( 自定义的buffer最好大些,否则当瞬间大量文件信息产生时会buffer overflow 导致事件信息丢失)
nBufferLength: buffer大小 ( 这个值很重要, 后面再说)
bWatchSubtree: 是否需要递归监控 ( True 则以此文件为root文件夹下的所有子文件都会处于监控中)
dwNotifyFilter: 指定需要监控的事件类别
lpBytesReturned: 函数返回时存入自定义buffer的字节数
lpOverlapped:NULL (synchronous)
lpCompletionRoutine: 指向completion routine的pointer.

http://msdn.microsoft.com/en-us/library/aa365465%28VS.85%29.aspx


3 使用步骤


3.1 使用CreateFile 打开需要监控的文件夹句柄

Example:

// Get Directory Handle by CreateFile
    hDir=CreateFile( _T("C:/test"),
                    GENERIC_READ | FILE_LIST_DIRECTORY,
                    FILE_SHARE_READ | FILE_SHARE_WRITE,
                    NULL,
                    OPEN_EXISTING,
                    FILE_ATTRIBUTE_NORMAL | FILE_FLAG_BACKUP_SEMANTICS | FILE_FLAG_OVERLAPPED,
                    NULL );

    if ( hDir==INVALID_HANDLE_VALUE)
    {
        MessageBox( NULL, _T("CreateFile Fail!"), _T("Fail"), MB_OK);
        return -1;
    }

3.2 调用 ReadDirectoryChangesW()

Example:

ReadDirectoryChangesW(
        hDir,
        szBuffer,
        SYS_ALLOC_BUF,
        TRUE,
        FILE_NOTIFY_CHANGE_LAST_WRITE | FILE_NOTIFY_CHANGE_FILE_NAME ,
        &BytesReturned,
        NULL,
        NULL)

(目前在我的project中使用的时synchronous的方式,相对asynchronous的方式要简单很多,具体asyn的方式参考MSDN。此文章中所有内容都是针对syn方式的。)

此函数调用后blocking,一直到有events发生,函数返回,events事件信息写入buffer。

3.3 读取events信息

Example:

TCHAR szBuffer[SYS_ALLOC_BUF/2]={0};
FILE_NOTIFY_INFORMATION *pInfo;
DWORD dwOffset=0;
int i=1;
       
       do{
            
            // Get a pointer to the first change record...
            pInfo=(FILE_NOTIFY_INFORMATION *)&szBuffer[dwOffset/2];
            dwOffset+=pInfo->NextEntryOffset;
            i++;

            // Event Process
            TCHAR FilePath[100]={0};
            memcpy((void *)FilePath, (void *)(pInfo->FileName), pInfo->FileNameLength);
            wstring File(FilePath);
            /*
           
             * Event  Procss    

             */
        }
        while(pInfo->NextEntryOffset!=0);

函数一次可能返回多个event信息, 每个event信息是以 FIEL_NOTIFY_INFORMATION 结构体存储的,如下

typedef struct _FILE_NOTIFY_INFORMATION {
  DWORD NextEntryOffset;
  DWORD Action;
  DWORD FileNameLength;
  WCHAR FileName[1];
} FILE_NOTIFY_INFORMATION, *PFILE_NOTIFY_INFORMATION;

所以要通过while循环的方式把buffer中的每个event信息读到,当 NextEntryOffset = 0时,说明这是buffer中的最后一个event。
注意,一定要通过这种循环的方式把buffer中每个event都读完。

3.4 Event 信息处理

使用此API有个特别让人头疼的地方: 单一事件返回重复events

比如:当对单一文件进行ADD,DELETE,MODIFY时,系统会返回多个事件信息。特别是修改某些文件时(Word,Excel)会产生很多临时文件,这些events系统都会返回到buffer中,
所以使用此API时需要根据自己的实际需要自定义一套逻辑来处理多个返回事件。我的方法简述如下:

       1 , 找规律: 尝试着Add, Delete, Modify 单一文件时,系统会返回那些events,找到其中的模式FILE_LIST_DIRECTORY 选项             2 ,   用程序语言定义每种模式
             3,    当通过读取events找到某种模式时,确定何种事件发生

 比如: 当对文件进行重命名时,系统一定会返回两个连续的events:FILE_ACTION_RENAMED_OLD_NAME 和 FILE_ACTION_RENAMED_NEW_NAME。
 找到这个规律后,凡是这两种事件发生时,一定是某个文件
最低0.47元/天 解锁文章
iatbst
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ReadDirectoryChangesW监控文件
niushitang的专栏
11-16 2137
指定的一个目录进行监控,当该目录中有文件发生改变,并通知处理。 Windows提供了对文件和目录监控系统服务,并且为应用程序提供了两个API函数,它们分别是:FindFirstChangeNotification和ReadDirectoryChangesW。其中FindFirstChangeNotification函数只能监控到某一目录下有文件发生改变,而不能监控到具体是哪一文件发生改变。Rea
Process Monitor v3.2 windows 注册表监控, 文件读写监控
07-08
线程监控, dll监控, 文件监控, 注册表监控 Introduction Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
API函数实现文件夹列表
0li's Blog
08-08 791
API函数实现文件夹列表   在安装软件等一些操作中,需要用户指定安装路径,现在软件的安装界面都是非常友好的,一般来说给出一个缺省路径,用户如不满意可以在文件夹列表中选择其他的路径。在WIN9X下,一般不再采用原来的先在驱动器列表框中选择驱动器再在相应的驱动器中选择相应文件夹的界面,而是采用的类似资源管理器中“所有文件夹”界面:最上层是“桌面”,然后是“我的电脑”、驱动器A、C、D...等
文件监控源码(API函数ReadDirectoryChangesW 监视目录)
liangquan的专栏
07-28 3926
<br />对指定的一个目录进行监控,当该目录中有文件发生改变,并通知处理。 Windows提供了对文件和目录监控系统服务,并且为应用程序提供了两个API函数,它们分别是:FindFirstChangeNotification和ReadDirectoryChangesW。由于通过FindFirstChangeNotification函数只能监控到某一目录下有文件发生改变,而不能监控到具体是哪一文件发生改变,所以本人选用ReadDirectoryChangesW函数。使用ReadDirectoryChang
window api 监控
weixin_30364325的博客
11-08 211
http://pnig0s1992.blog.51cto.com/393390/704189 转载于:https://www.cnblogs.com/zengkefu/p/4947264.html
shc.zip_VB 监控_windows文件SHC
09-23
通过这个压缩包,开发者可以学习到如何使用VB来实现Windows文件系统的实时监控,以及如何设计和实现这样的监控应用程序。这涉及到Windows API的调用、事件驱动编程以及VB的基础语法和结构。对于想要深入理解VB和...
C#数据库监控文件监控
最新发布
05-09
通过合理地利用这些工具和API,开发者可以构建强大的监控系统,提升系统的可靠性和维护性。同时,随着微服务和云原生理念的发展,集成日志和监控平台如Prometheus、Grafana等也逐渐成为现代应用程序的标准配置,它们...
易语言监控文件模块源码-易语言
06-13
易语言通过封装这些底层接口,提供了方便易用的文件监控API,使得开发者无需直接处理复杂的驱动编程,就能实现文件系统的实时监控。 在"文件监控模块_hez2010优化版.e"这个源代码中,hez2010可能是作者的昵称,优化...
易语言监控文件模块
07-15
2. 事件驱动编程:监控文件变化通常采用事件驱动的方式,即当文件系统发生特定事件时,执行相应的代码。易语言提供了事件处理机制,可以编写事件过程来响应这些事件。 3. 文件系统监视器:在易语言中,可以使用系统...
易语言监控文件目录
07-15
Windows操作系统提供了`FindFirstChangeNotification`、`FindNextChangeNotification`和`ReadDirectoryChangesW`等API,这些可以用来监视文件和目录的变化。易语言可以通过调用这些API函数来构建文件目录监控的机制...
利用Windows API实现文件监控.zip
03-28
利用Windows API实现对文件监控
windows api监控工具套件
11-03
;此工具系列配合Dbgview可用来查找病毒、木马、恶意软件等,也可用于windows开发、软件内部机理、API调用流程等相关研究 ;0.1版,功能未完整,仅包含列举API的最基本功能,部分功能仍未实现 希望能和大家一起交流学习 QQ:253980289
Windows未公开的API-目录监控监控文件新建删除修改.zip
12-27
Windows未公开的API-目录监控监控文件新建删除修改.zip
用window自带的API函数实现摄像头做监控技术
05-06
window自带的API接口函数,实现摄像头视频监控
监控文件系统用得到的API
weixin_34406086的博客
11-30 94
监控文件系统用得到的API http://msdn.microsoft.com/en-us/library/aa302237.aspx NT_TRANSACT_NOTIFY_CHANGE The NT_TRANSACT_NOTIFY_CHANGE command notifies the client when the direc...
WindowsAPI——使用Windows API中键盘、鼠标监控钩子
10-22 2220
函数,该函数可以将一个热键与当前应用程序或线程绑定,使得当用户按下热键时,系统会自动将该热键的消息发送到该应用程序或线程中,该函数原型如下;消息发送给注册了该热键的窗口,应用程序需要重载该窗口的消息处理函数来响应该事件,从而实现相应的响应操作。函数,该函数用于从消息队列中获取一个消息并将其存储在一个结构体中,通常用于在一个循环中不断地获取消息,从而实现对。消息,并监控是否为我们所需要的即可,如下代码是一段注册热键的实现,分别注册了。函数可以对所有线程进行监控,包括其他进程中的线程,而。
关于文件读写的监控, 通过APIHOOK来实现
胡杨林
12-18 6921
有的时候,我们需要对程序读写文件的时候进行监控,尤其是文件的数据是保密的,而且不能直接存储在磁盘上。举个最简单的例子来说,当我们有个文件在磁盘上,而这个文件是加密的,这时候在程序打开文件的时候,通过输入密钥进行解密了,但是这些解密了的数据,是不能写回磁盘的,只能放在RAM中,这时候如果程序想通过正常的文件操作来访问数据的话,那么这就需要我们来对这个文件操作的API下钩子函数了。
Windows 性能监视器API
左雪菲的专栏
08-13 837
性能监视器以实时或查看历史数据的方式显示了内置的 Windows 性能计数器。可以通过拖放或创建自定义数据收集器集将性能计数器添加到性能监视器。其特征在于可以直观地查看性能日志数据的多个图表视图。可以在性能监视器中创建自定义视图,该视图可以导出为数据收集器集以便与性能和日志记录功能一起使用。 本文介绍通过API,读取性能监视器中的数据。 一、API介绍: 1、PdhOpenQuery:获取性能监视器数据查询句柄; 2、PdhAddCounter:添加计数器; 3、PdhCollectQuery..
强大的 API 监控工具 之 Win32Exts for API Monitor 介绍
tan_kaishuai的专栏
04-15 5474
Win32Exts_for_API_Monitor Win32Exts for API_Monitor 是Win32Exts项目组提供的一个强大的API 监视工具,相较于流行的 API_Monitor, 它具有解码功能强大、灵活二次扩展开发、与其他脚本语言完美融合交互 等等优异的特性。 Github下载地址: https://git......
Linux下视频监控系统设计与实现指南
"该文档是关于视频监控程序设计项目的说明指导书,涵盖了系统设计与实现的详细内容,特别强调了Unix/Linux系统编程和C++ GUI程序设计(使用QT框架)的训练,旨在提升学生的实践技能和问题解决能力。系统采用C/S架构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值