Everything研究之读取NTFS下的USN日志文件代码

最新推荐文章于 2025-04-07 11:25:50 发布
最新推荐文章于 2025-04-07 11:25:50 发布
阅读量1k 收藏 5
点赞数 2
分类专栏: C++初学 文章标签: everything c++ c语言
原文链接:https://www.febrime.top/typecho/reprinted/169.html
版权 
#include<iostream>
#include<stdio.h>
#include<string>
#include<tchar.h>
#include<Windows.h>

using namespace std;

bool isNTFS(string path);
HANDLE getHandle(string volName);
bool createUSN(HANDLE hVol, CREATE_USN_JOURNAL_DATA& cujd);
bool getUSNInfo(HANDLE hVol, USN_JOURNAL_DATA& ujd);
bool getUSNJournal(HANDLE hVol, USN_JOURNAL_DATA& ujd);
bool deleteUSN(HANDLE hVol, USN_JOURNAL_DATA& ujd);

int main(){
    //isNTFS("C:/");
    CREATE_USN_JOURNAL_DATA* cujd = new CREATE_USN_JOURNAL_DATA;
    USN_JOURNAL_DATA* ujd = new USN_JOURNAL_DATA;
    HANDLE hVol = getHandle("C:");
    createUSN(hVol, *cujd);
    getUSNInfo(hVol, *ujd);
    getUSNJournal(hVol, *ujd);
    deleteUSN(hVol, *ujd);
    system("pause");
    return 0;
}

//判断是否是NTFS盘
bool isNTFS(string path){//"C:/"
    char sysNameBuf[MAX_PATH];
    int status = GetVolumeInformationA(path.c_str(),
        NULL,
        0,
        NULL,
        NULL,
        NULL,
        sysNameBuf,
        MAX_PATH);

    if (0 != status){
        if (0 == strcmp(sysNameBuf, "NTFS")){
            //printf(" 文件系统名 : %s\n", sysNameBuf);
            cout << "盘符:" << path << "\n文件系统名:" << sysNameBuf << endl;
            return true;
        }
        else {
            printf(" 该驱动盘非 NTFS 格式 \n");
            return false;
        }

    }
    return false;
}

/**
* step 02. 获取驱动盘句柄
*/
HANDLE getHandle(string volName){

    char fileName[MAX_PATH];
    fileName[0] = '\0';

    // 传入的文件名必须为\\.\C:的形式
    strcpy_s(fileName, "\\\\.\\");
    strcat_s(fileName, volName.c_str());
    // 为了方便操作,这里转为string进行去尾
    string fileNameStr = (string)fileName;
    fileNameStr.erase(fileNameStr.find_last_of(":") + 1);

    printf("驱动盘地址: %s\n", fileNameStr.data());

    // 调用该函数需要管理员权限
    HANDLE hVol = CreateFileA(fileNameStr.data(),
        GENERIC_READ | GENERIC_WRITE, // 可以为0
        FILE_SHARE_READ | FILE_SHARE_WRITE, // 必须包含有FILE_SHARE_WRITE
        NULL, // 这里不需要
        OPEN_EXISTING, // 必须包含OPEN_EXISTING, CREATE_ALWAYS可能会导致错误
        FILE_ATTRIBUTE_READONLY, // FILE_ATTRIBUTE_NORMAL可能会导致错误
        NULL); // 这里不需要

    if (INVALID_HANDLE_VALUE != hVol){
        //getHandleSuccess = true;
        cout << "获取驱动盘句柄成功!\n";
        return hVol;
    }
    else{
        printf("获取驱动盘句柄失败 —— handle:%x error:%d\n", hVol, GetLastError());
        return 0;
    }
    return 0;
}

/**
* step 03. 初始化USN日志文件
*/
bool createUSN(HANDLE hVol, CREATE_USN_JOURNAL_DATA& cujd){
    DWORD br;
    cujd.MaximumSize = 0; // 0表示使用默认值
    cujd.AllocationDelta = 0; // 0表示使用默认值
    bool status = DeviceIoControl(hVol,
        FSCTL_CREATE_USN_JOURNAL,
        &cujd,
        sizeof(cujd),
        NULL,
        0,
        &br,
        NULL);

    if (0 != status){
        //initUsnJournalSuccess = true;
        return true;
    }
    else{
        printf("初始化USN日志文件失败 —— status:%x error:%d\n", status, GetLastError());
        return false;
    }
    return false;
}

/**

* step 04. 获取USN日志基本信息(用于后续操作)

* msdn:http://msdn.microsoft.com/en-us/library/aa364583%28v=VS.85%29.aspx

*/
bool getUSNInfo(HANDLE hVol, USN_JOURNAL_DATA& ujd){
    bool getBasicInfoSuccess = false;
    DWORD br;
    bool status = DeviceIoControl(hVol,
        FSCTL_QUERY_USN_JOURNAL,
        NULL,
        0,
        &ujd,
        sizeof(ujd),
        &br,
        NULL);
    if (0 != status){
        //getBasicInfoSuccess = true;
        printf("获取USN日志基本信息成功\n");
        return true;
    }
    else{
        printf("获取USN日志基本信息失败 —— status:%x error:%d\n", status, GetLastError());
        return false;
    }
    return false;
}

bool getUSNJournal(HANDLE hVol, USN_JOURNAL_DATA& ujd){
    MFT_ENUM_DATA_V0 med;
    med.StartFileReferenceNumber = 0;
    med.LowUsn = ujd.FirstUsn;
    med.HighUsn = ujd.NextUsn;
#define BUF_LEN 4096
    CHAR buffer[BUF_LEN]; // 用于储存记录的缓冲 , 尽量足够地大
    DWORD usnDataSize = 0;
    PUSN_RECORD UsnRecord;
    while (0 != DeviceIoControl(hVol,
        FSCTL_ENUM_USN_DATA,
        &med,
        sizeof (med),
        buffer,
        BUF_LEN,
        &usnDataSize,
        NULL))
    {
        DWORD dwRetBytes = usnDataSize - sizeof (USN);
        // 找到第一个 USN 记录
        // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx ):
        // return a USN followed by zero or more change journal records, each in a USN_RECORD structure.
        UsnRecord = (PUSN_RECORD)(((PCHAR)buffer) + sizeof (USN));
        printf(" ********************************** \n");
        while (dwRetBytes>0){
            // 打印获取到的信息
            const int strLen = UsnRecord->FileNameLength;
            char fileName[MAX_PATH] = { 0 };
            WideCharToMultiByte(CP_OEMCP, NULL, UsnRecord->FileName, strLen / 2, fileName, strLen, NULL, FALSE);
            printf("FileName: %s\n", fileName);
            // 下面两个 file reference number 可以用来获取文件的路径信息
            printf("FileReferenceNumber: %xI64\n", UsnRecord->FileReferenceNumber);
            printf("ParentFileReferenceNumber: %xI64\n", UsnRecord->ParentFileReferenceNumber);
            printf("\n");
            // 获取下一个记录
            DWORD recordLen = UsnRecord->RecordLength;
            dwRetBytes -= recordLen;
            UsnRecord = (PUSN_RECORD)(((PCHAR)UsnRecord) + recordLen);
        }
        // 获取下一页数据, MTF 大概是分多页来储存的吧?
        // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx ):
        // The USN returned as the first item in the output buffer is the USN of the next record number to be retrieved.
        // Use this value to continue reading records from the end boundary forward.
        med.StartFileReferenceNumber = *(USN *)&buffer;
    }
    return true;
}

/**
* step 06. 删除 USN 日志文件 ( 当然也可以不删除 )
*/
bool deleteUSN(HANDLE hVol, USN_JOURNAL_DATA& ujd){
    DELETE_USN_JOURNAL_DATA dujd;
    dujd.UsnJournalID = ujd.UsnJournalID;
    dujd.DeleteFlags = USN_DELETE_FLAG_DELETE;
    DWORD br;
    int status = DeviceIoControl(hVol,
        FSCTL_DELETE_USN_JOURNAL,
        &dujd,
        sizeof (dujd),
        NULL,
        0,
        &br,
        NULL);
    if (0 != status){
        CloseHandle(hVol);
        printf(" 成功删除 USN 日志文件 !\n");
        return true;
    }
    else {
        CloseHandle(hVol);
        printf(" 删除 USN 日志文件失败 —— status:%x error:%d\n", status, GetLastError());
        return false;
    }
    return false;
}

VB版 NTFS文件系统USN日志读取
guoyong_cy的博客
05-28 420
NTFS文件系统USN日志读取,这东西不新鲜,但是好像找不到VB 版本的,发一个。1、Api函数OpenFileById获取;2、也可以通过USN信息重建完整路径。和其他语言对比,纯VB代码实现USN读取要慢得多,性能大概相差一倍以上。对于非NTFS文件系统,采用非递归法遍历。这段代码是采用的第2种方法取得全路径。以下是获取所有盘中文件名及全路径代码。与USN信息重建速度差不多。
MFT和USN
a541456的博客
10-20 1708
MFT和USN缩写前言类型定义属性类型定义MFT条目索引MFT条目头属性头ATTRIBUTE_LIST属性值中记录的属性简要信息STANDARD_INFORMATION值内容其它定义MFTMFT条目属性篇欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的
获取USN日志基本信息
08-07
关于获取USN基本日志信息C++ code block 上运行,因为是自己参照网上VC版本改编的可能会有些许疏漏。
Everything 文件搜索工具“天花板级”效率神器软件下载安装(附安装包)
最新发布
qq_25574913的博客
04-07 1057
Everything是一款由澳大利亚开发者 David Carpenter 创建的免费文件搜索工具,专为 Windows 系统设计。它通过直接读取 NTFS文件系统表(MFT)实现秒级文件检索,彻底解决了传统搜索工具速度慢、资源占用高等痛点。其官网定义是“基于名称实时定位文件和目录”,适用于需要快速管理海量文件的用户,如程序员、硬件工程师、办公族等。接下来就带大家安装Everything
NTFS下的USN日志文件
qq_41786318的博客
09-04 3900
Advanced $UsnJrnl Forensics http://forensicinsight.org/wp-content/uploads/2013/07/F-INSIGHT-Advanced-UsnJrnl-Forensics-English.pdf   Everything研究读取NTFS下的USN日志文件(1) http://www.voidcn.com/article/p...
USN日志
weixin_30527143的博客
08-23 1183
转载:https://www.iteye.com/blog/univasity-805234 https://blog.51cto.com/velika/1440105 源码:https://files.cnblogs.com/files/Toya/USN.7z 本程序需要管理员权限 1 #include<iostream> 2 #include&l...
Everything研究读取NTFS下的USN日志文件(1)
热门推荐
XuePiaoFei1的专栏
10-10 1万+
转自:http://univasity.iteye.com/blog/805234   http://univasity.iteye.com/blog/805235 我在第一次使用 Everything 时,对其速度确实感到惊讶,后来了解到是通过操作 USN 实现的,并且有一定的局限性(只有 NTFS 下才能使用)。   近来清闲无事(失业了),搞些自己的小项目玩玩。其
C#制作的windows系统文件快速搜索工具,读取USN,易用性与速度都已优化的很好。程序为免安装的exe文件。
07-17
原理是读取ntfsUSN文件日志,然后内建索引加速文件搜索过程。 1、列表文件支持批量处理(删除、复制、复制文件名路径、打开、重命名),或者引用系统菜单。 2、支持拼音首字母缩写搜索,指定文件夹内搜索,多...
Everything:基于 NTFS 文件系统,实现 Windows 文件的实时搜索
11-10
不同于 Windows 自带的搜索功能,Everything 不依赖于文件名中的关键词,而是直接读取 NTFS 文件系统的 USN 日志,这意味着即使文件内容发生变化,它也能快速更新索引。输入关键词后,搜索结果几乎是即时显示的,...
基于NTFS USN日志的桌面搜索简易模拟
USN Journal(更新序列号日志)是NTFS文件系统的一个特性,它记录了磁盘上文件和文件夹的变更信息。每当文件或文件夹被创建、删除、重命名或者有任何属性上的变更时,USN Journal都会被更新。在“Everything”搜索...
基于NTFS USNJournal的快速文件搜索工具
NTFS-Search通过读取NTFS文件系统的USN日志来快速获取文件信息,并基于这些信息实现搜索功能。这一过程跳过了传统的逐文件遍历(或索引)方式,使得搜索操作的速度大大提升。 5. MFT的读取与文件信息提取:NTFS-...
everything搜索工具,NTFS磁盘搜索秒杀
07-27
Everything是速度最快的文件搜索软件,可以瞬间搜索到你需要的文件。其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费,支持中文,支持正则表达式,可以通过HTTP或FTP分享搜索结果。 里面的Everything.lng 为中文语言文件,放在安装主目录下,再设置为中文。
visual c++ vc获得windows NTFS格式的磁盘信息.zip
04-04
vc获得windows NTFS格式的磁盘信息.zip
C++ USN日志 相关的代码
张 作强 BLOG
09-27 1172
例子一: TestApp.cpp #include &lt;set&gt; #include "USNMethod.h" using namespace std; int main() { // 获得所有变化记录 deque&lt;MY_USN_RECORD&gt; con; EnumUsnRecord( "F", con ); // 搜寻文件名为"test...
数字取证二 熟练掌握鉴证大师 了解NTFS分析、LogFile文件使用和USN日志分析
凌阳的博客
03-26 5223
任务一 选择Z01.Peter.e01镜像: 练习一:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被编辑过? 练习二:分析JMXM021-技术资料-文档.lnk文件、 JMXM021-技术资料-文档.docx文件,该文件被拷贝后,是否被编辑过? 练习三:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被移动过? 任务二 选择C01-CCFC-Windows XP.001镜像,使用鉴证大师: 练习一:查找Sprite编辑过的所有Offi......
软件推荐:强大的本地搜索工具Everything及FAT16/FAT32转化为NTFS
溺水的鱼 - Later equals never.
04-06 2839
如果你对windows自身的搜索工具不是很满意,有不想使用TotalCommander,或者是庞大的google桌面(因为生成索引会产生高达五六百M或更大的文件),那everything绝对你个不错的选择。首先看一下官网的介绍:安装文件小巧界面简洁易用快速文件索引快速文件搜索极低资源占用轻松分享文件索引实时跟踪更新这些官网所说绝无吹嘘。的确,安装文件
NTFS(微软专用文件系统)
weixin_40191861的博客
06-13 3485
(英語:),是公司开发的,从开始成为家族的默认文件系统。可选数据流NTFS取代(文件分配表)和(高性能文件系统)并进行一系列改进成为更加完善的安全系统,例如增强对的支持,使用更高级的数据结构以提升性能、可靠性和磁盘空间利用率,并附带一系列增强功能,如(ACL)和文件系统日志。其他台式机和服务器操作系统也支持NTFS。和提供代码的软件NTFS-system,可用于读写NTFS文件。内核不能对NTFS进行读操作。
NTFS - 使用手册
weixin_43763292的博客
06-20 2204
快速搜索
USN
lusic01的专栏
04-03 2033
我在第一次使用 Everything 时,对其速度确实感到惊讶,后来了解到是通过操作 USN 实现的,并且有一定的局限性(只有 NTFS 下才能使用)。 近来清闲无事(失业了),搞些自己的小项目玩玩。其中也要处理到本地搜索这块,首先我想到的就是Everything 。 我仔细地将官网和他论坛的帖子都看了遍,基本没找到什么讲到原理的。倒是官网上提供了一个 Everything 的SDK 下载,是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值