NTFS Change Journal(转) -- Everything

NTFS Change Journal

NTFS卷上的变化日志,每个卷上都有自己的变化日志。

文件被隐藏

初始化的时候为空,文件或目录发生改变,写到日志的末尾

每条记录是一个USN(Update Sequence Number),64位的标示

USNs按增长顺序生成

每页大概包含30-40个记录,记录不可以跨页,所以页尾可能浪费一些

NTFS卷上文件,目录信息存储在MFT(Master File Table)上,
MFT上的记录描述了文件的名称,位置,大小,属性。。。

每个文件的MFT条目记录了这个文件的最新USN
文件系统更新变化文件的MFT的最新USN

日志文件增长过大,文件系统允许在文件的开始处,清除旧的记录
传统的方法,清除前面的要很多IO操作,后面的还要移到新的位置
但是日志十个稀疏文件,支持清除不需要的部分,保留部分的偏移量仍然可用

某卷的变化日志可以被禁用,防止系统为文件和目录写日志,默认情况下是关闭的,
应用程序需要激活它

任何应用程序都可以在任何时候,禁用,启用日志,所以当有程序使用的情况,要温柔的处理

当日志被禁用的时候,系统要清除日志的记录内容,防止程序读不可靠的信息,
日志仅保留持续活动期间的记录

目前的实现是,禁用时候删除变化日志,启用的时候创建一个新的日志,
虽然应用程序不关心删除和创建操作,但是平台编成却要使用
***************************************************************************
***************************************************************************
访问Change Journal要通过DeviceIoControl
BOOL DeviceIoControl(
  (HANDLE) hDevice,            // 文件,目录,设备,用CreateFile取得句柄
  FSCTL_READ_USN_JOURNAL,      // 请求
  (LPVOID)lpInBuffer,          // input buffer
  (DWORD)nInBufferSize,        // size of input buffer
  (LPVOID)lpOutBuffer,         // output buffer
  (DWORD)nOutBufferSize,       // size of output buffer
  (LPDWORD) lpBytesReturned,   // number of bytes returned
  (LPOVERLAPPED) lpOverlapped  // OVERLAPPED structure
);

HANDLE hcj = CreateFile("////.//C:", GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
    NULL, OPEN_EXISTING, 0, NULL);

***************************************************************************
***************************************************************************
typedef struct {
    DWORD RecordLength;  // 记录长度
    WORD   MajorVersion;  // 主办本
    WORD   MinorVersion;  // 次版本
    DWORDLONG FileReferenceNumber;   // 文件引用数
    DWORDLONG ParentFileReferenceNumber; // 父目录引用数
    USN Usn;     // USN
    LARGE_INTEGER TimeStamp;    // 时间戳
    DWORD Reason;   // 原因
    DWORD SourceInfo;  // 源信息
    DWORD SecurityId;  // 安全ID
    DWORD FileAttributes; // 文件属性
    WORD  FileNameLength; // 文件长度
    WORD  FileNameOffset;  // penultimate of original version 2.0
    DWORD ExtraInfo1;      // Hypothetically added in version 2.1
    DWORD ExtraInfo2;      // Hypothetically added in version 2.2
    DWORD ExtraInfo3;      // Hypothetically added in version 2.3
    WCHAR FileName[1];     // variable length always at the end
} USN_RECORD, *PUSN_RECORD;
应用程序不去填写这些信息,当程序读Change Journal时由系统返回。
PUSN_RECORD pNext;
pNext = (PUSN_RECORD) (((PBYTE) pRecord) + pRecord->RecordLength);

 

 

在网上突然发现了Everything这个程序对NTFS磁盘文件可以快速的进行搜索,而且搜素的速度之快,让你惊讶这个东西怎么工作的? 具介绍说是 采用了NTFS的 Change Journal这个特性进行开发的。总算对这个 USN的说法有了个了解,但是这个特性如何对他的检索怎么应用的还没有想清楚。不过看它的搜索速度真是让人惊奇! NTFS Change Journal NTFS卷上的变化日志,每个卷上都有自己的变化日志。 文件被隐藏 初始化的时候为空,文件或目录发生改变,写到日志的末尾 每条记录是一个USN(Update Sequence Number),64位的标示 USNs按增长顺序生成 每页大概包含30-40个记录,记录不可以跨页,所以页尾可能浪费一些 NTFS卷上文件,目录信息存储在MFT(Master File Table)上, MFT上的记录描述了文件的名称,位置,大小,属性。。。 每个文件的MFT条目记录了这个文件的最新USN 文件系统更新变化文件的MFT的最新USN 日志文件增长过大,文件系统允许在文件的开始处,清除旧的记录传统的方法,清除前面的要很多IO操作,后面的还要移到新的位置但是日志十个稀疏文件,支持清除不需要的部分,保留部分的偏移量仍然可用 某卷的变化日志可以被禁用,防止系统为文件和目录写日志,默认情况下是关闭的, 应用程序需要激活它 任何应用程序都可以在任何时候,禁用,启用日志,所以当有程序使用的情况,要温柔的处理 当日志被禁用的时候,系统要清除日志的记录内容,防止程序读不可靠的信息, 日志仅保留持续活动期间的记录 目前的实现是,禁用时候删除变化日志,启用的时候创建一个新的日志, 虽然应用程序不关心删除和创建操作,但是平台编成却要使用 *************************************************************************** *************************************************************************** 访问Change Journal要通过DeviceIoControl BOOL DeviceIoControl( (HANDLE) hDevice, // 文件,目录,设备,用CreateFile取得句柄 FSCTL_READ_USN_JOURNAL, // 请求 (LPVOID)lpInBuffer, // input buffer (DWORD)nInBufferSize, // size of input buffer (LPVOID)lpOutBuffer, // output buffer (DWORD)nOutBufferSize, // size of output buffer (LPDWORD) lpBytesReturned, // number of bytes returned (LPOVERLAPPED) lpOverlapped // OVERLAPPED structure ); HANDLE hcj = CreateFile("\\\\.\\C:", GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); *************************************************************************** *************************************************************************** typedef struct { DWORD RecordLength; // 记录长度 WORD MajorVersion; // 主办本 WORD MinorVersion; // 次版本 DWORDLONG FileReferenceNumber; // 文件引用数 DWORDLONG ParentFileReferenceNumber; // 父目录引用数 USN Usn; // USN LARGE_INTEGER TimeStamp; // 时间戳 DWORD Reason; // 原因 DWORD SourceInfo; // 源信息 DWORD SecurityId; // 安全ID DWORD FileAttributes; // 文件属性 WORD FileNameLength; // 文件长度 WORD FileNameOffset; // penultimate of original version 2.0 DWORD ExtraInfo1; // Hypothetically added in version 2.1 DWORD ExtraInfo2; // Hypothetically added in version 2.2 DWORD ExtraInfo3; // Hypothetically added in version 2.3 WCHAR FileName[1]; // variable length always at the end } USN_RECORD, *PUSN_RECORD; 应用程序不去填写这些信息,当程序读Change Journal时由系统返回。 PUSN_RECORD pNext; pNext = (PUSN_RECORD) (((PBYTE) pRecord) + pRecord->RecordLength);

 

取得NTFS磁盘上的MTF信息

2010-10-28 06:33752人阅读评论(1)收藏举报




[cpp] view plaincopyprint?
01.#include "ntfs.h"  
02.#include   
03.#include   
04.#include   
05.#include   
06.using namespace std;  
07.//管理员权限运行  
08.typedef struct {  
09.    ULONGLONG index;  
10.    ULONGLONG parent;  
11.    WCHAR name[1024];  
12.    int type; //0 file 1 dir  
13.} FILE_INFO, *PFILE_INFO;   
14.  
15.//枚举盘符  
16.void OpenNtfsVolume()  
17.{  
18.    WCHAR tDrivers[26*4+1] = {};  
19.    GetLogicalDriveStrings(26*4+1,tDrivers);  
20.    WCHAR fileSysBuf[8];  
21.    DWORD dwDri; //0~25  
22.  
23.    WCHAR szRootName[40];  
24.    WCHAR szVolumeName[32];  
25.    int iFilterRoot=0;  
26.    for(WCHAR *p=tDrivers;*p!='\0';p+=4)  
27.    {         
28.        if(*p>=L'a') *p-=32;//  
29.        dwDri=*p-L'A';  
30.        if(DRIVE_FIXED==GetDriveTypeW(p))  
31.        {     
32.            DWORD dwMaxComLen,dwFileSysFlag;  
33.            GetVolumeInformationW(p,szVolumeName,32,NULL,&dwMaxComLen,&dwFileSysFlag,fileSysBuf,8);  
34.            if(fileSysBuf[0]==L'N' && fileSysBuf[1]==L'T' && fileSysBuf[2]==L'F' && fileSysBuf[3]==L'S')  
35.            {  
36.                swprintf(szRootName,L"%s (%c:)",szVolumeName,*p);  
37.                WCHAR szVolumePath[10];  
38.                swprintf(szVolumePath,L"\\\\.\\%c:",*p);  
39.                wcout<FileRecordBuffer;  
76.        if(pfileRecordheader->Ntfs.Type != 'ELIF')  
77.            continue;  
78.        for(PATTRIBUTE pAttribute = (PATTRIBUTE)((PBYTE)pfileRecordheader +pfileRecordheader->AttributeOffset);pAttribute->AttributeType != -1;pAttribute=(PATTRIBUTE)((PBYTE)pAttribute +pAttribute->Length))  
79.        {  
80.            switch (pAttribute->AttributeType)  
81.            {  
82.            case AttributeFileName:  
83.                {  
84.                    if((0x0002 & pfileRecordheader->Flags) && (0x0001 & pfileRecordheader->Flags));  
85.                    PFILENAME_ATTRIBUTE pFileNameAttr=PFILENAME_ATTRIBUTE((PBYTE)pAttribute+PRESIDENT_ATTRIBUTE(pAttribute)->ValueOffset);  
86.                }  
87.                break;  
88.            case AttributeStandardInformation:  
89.                break;  
90.            case AttributeAttributeList:  
91.                break;  
92.            case AttributeObjectId:  
93.                break;  
94.            }  
95.        }  
96.    }  
97.    free(ntfsFileRecordOutput);  
98.  
99.    USN_JOURNAL_DATA journalData;  
100.    READ_USN_JOURNAL_DATA readData = {0, 0xFFFFFFFF, FALSE, 0, 0};  
101.  
102.    PUSN_RECORD usnRecord;  
103.    DWORD dwBytes;  
104.    DWORD dwRetBytes;  
105.    char buffer[USN_PAGE_SIZE];  
106.    bDioControl = DeviceIoControl(hVol, FSCTL_QUERY_USN_JOURNAL, NULL,0,&journalData,sizeof(journalData),&dwBytes,NULL);  
107.    if (!bDioControl) {wcout< namemap;  
118.    map frnmap;  
119.    vector fileVect;  
120.    for (;;)  
121.    {  
122.        memset(buffer, 0, sizeof(USN_PAGE_SIZE));  
123.        //FSCTL_ENUM_USN_DATA FSCTL_READ_USN_JOURNAL  
124.        //DeviceIoControl( hVol, FSCTL_READ_USN_JOURNAL, &readData,sizeof(readData),&buffer,USN_PAGE_SIZE,&dwBytes,NULL);  
125.        bDioControl = DeviceIoControl( hVol, FSCTL_ENUM_USN_DATA, &med, sizeof(med),&buffer,USN_PAGE_SIZE,&dwBytes,NULL);  
126.        if (!bDioControl) {wcout< 0)  
132.        {  
133.            FILE_INFO fi;  
134.            fi.index = usnRecord->FileReferenceNumber;  
135.            fi.parent = usnRecord->ParentFileReferenceNumber;  
136.  
137.            //wprintf(L"USN: %I64x\n", usnRecord->Usn );  
138.            //wprintf(L"File name: %.*s\n", (int)(usnRecord->FileNameLength/2),usnRecord->FileName );  
139.            //wprintf(L"Reason: %x\n", usnRecord->Reason );  
140.  
141.            memset(fi.name,0,sizeof(fi.name));  
142.            swprintf(fi.name,L"%.*ws", (int)(usnRecord->FileNameLength/2),usnRecord->FileName);  
143.            namemap[fi.index] = wstring(fi.name);  
144.            fileVect.push_back(fi);  
145.            frnmap[fi.index] = fi.parent;  
146.  
147.            dwRetBytes -= usnRecord->RecordLength;  
148.            usnRecord = (PUSN_RECORD)(((PCHAR)usnRecord) + usnRecord->RecordLength);      
149.        }  
150.        med.StartFileReferenceNumber=*(DWORDLONG*)buffer;  
151.        //readData.StartUsn = *(USN *)&buffer;   
152.    }  
153.    wcout<::iterator it;  
155.    /*for ( it=namemap.begin() ; it != namemap.end(); it++ ) 
156.    { 
157.    wcout << (*it).first << " => " << ((*it).second).c_str() <<"==>"<";  
165.        ULONGLONG parent = fi.parent;  
166.        while (namemap.find(parent) != namemap.end())  
167.        {  
168.            wstring dir = namemap[parent];  
169.            wcout<   
02.#include   
03.  
04.typedef struct {   
05.    ULONG Type;  //4B  'ELIF','XDNI','DAAB','ELOH','DKHC'    
06.    USHORT UsaOffset;  //2B 更新序列号数组偏移,校验值地址   
07.    USHORT UsaCount;  //1+n 1为校验值个数 n为待替换值个数  fixup   
08.    USN Usn; //8B 每次记录被修改 USN都变化   
09.} NTFS_RECORD_HEADER, *PNTFS_RECORD_HEADER;  
10.  
11.typedef struct { //sizeof(FILE_RECORD_HEADER)==48   
12.    NTFS_RECORD_HEADER Ntfs;  //16B Ntfs.Type总是'ELIF'   
13.    USHORT SequenceNumber; //File Reference Number的高16位  i是低48位 0~total_file_count-1  
14.    //用于记录主文件表记录被重复使用的次数   
15.    USHORT LinkCount; //记录硬连接的数目,只出现在基本文件记录中   
16.    USHORT AttributeOffset; //第一个属性的偏移   
17.    USHORT Flags;       // 0x0001 = InUse, 0x0002 = Directory   
18.    ULONG BytesInUse;  //记录头和属性的总长度,即文件记录的实际长度文件,即记录在磁盘上实际占用的字节空间。   
19.    ULONG BytesAllocated; //总共分配给记录的长度   
20.    ULONGLONG BaseFileRecord; //基本文件记录中的文件索引号,   
21.    //对于基本文件记录,其值为0,如果不为0,则是一个主文件表的文件索引号,   
22.    //指向所属的基本文件记录中的文件记录号,   
23.    //在基本文件记录中包含有扩展文件记录的信息,存储在“属性列表ATTRIBUTE_LIST”属性中。   
24.    USHORT NextAttributeNumber; //下一属性ID   
25.} FILE_RECORD_HEADER, *PFILE_RECORD_HEADER;  
26.  
27.  
28.//文件记录中按属性非降序(因为有时连续多个相同的属性)排列,   
29.//属性的值即为 字节流   
30.typedef enum {   
31.    //诸如只读、存档等文件属性;   
32.    //时间戳:文件创建时、最后一次修改时;   
33.    //多少目录指向该文件(硬链接计数hard link count)   
34.    AttributeStandardInformation = 0x10, //Resident_Attributes 常驻属性  
35.  
36.    //?????????????????????????????????   
37.    //当一个文件要求多个MFT文件记录时 会有该属性   
38.    //属性列表,包括构成该文件的这些属性,以及每个属性所在的MFT文件记录的文件引用   
39.    //?????????????????????????????????   
40.    AttributeAttributeList = 0x20,//由于属性值可能会增长,可能是非驻留属性  
41.  
42.    //文件名属性可以有多个:   
43.    //1.长文件名自动为其短文件名(以便MS-DOS和16位程序访问)   
44.    //2.当该文件存在硬链接时   
45.    AttributeFileName = 0x30, //常驻  
46.  
47.    //一个文件或目录的64字节标识符,其中低16字节对于该卷来说是唯一的   
48.    //链接-跟踪服务将对象ID分配给外壳快捷方式和OLE链接源文件。   
49.    //NTFS提供了相应的API,因为文件和目录可以通过其对象ID,而不是通过其文件名打开   
50.    AttributeObjectId = 0x40, //常驻  
51.  
52.    //为与NTFS以前版本保持向后兼容   
53.    //所有具有相同安全描述符的文件或目录共享同样的安全描述   
54.    //以前版本的NTFS将私有的安全描述符信息与每个文件和目录存储在一起   
55.    AttributeSecurityDescriptor = 0x50,//出现于$Secure元数据文件中  
56.  
57.    //保存了该卷的版本和label信息   
58.    AttributeVolumeName = 0x60, //仅出现于$Volume元数据文件中   
59.    AttributeVolumeInformation = 0x70,//仅出现于$Volume元数据文件中  
60.  
61.    //文件内容,一个文件仅有一个未命名的数据属性,但可有额外多个命名数据属性   
62.    //即一个文件可以有多个数据流,目录没有默认的数据属性,但可有多个可选的命名的数据属性   
63.    AttributeData = 0x80,//由于属性值可能会增长,可能是非驻留属性  
64.  
65.    //以下三个用于实现大目录的文件名分配和位图索引   
66.    AttributeIndexRoot = 0x90,//常驻   
67.    AttributeIndexAllocation = 0xA0,   
68.    AttributeBitmap = 0xB0,  
69.  
70.    //存储了一个文件的重解析点数据,NTFS的交接(junction)和挂载点包含此属性   
71.    AttributeReparsePoint = 0xC0,  
72.  
73.    //以下两个为扩展属性,现已不再被主动使用,之所以提供是为与OS/2程序保持向后兼容   
74.    AttributeEAInformation = 0xD0,   
75.    AttributeEA = 0xE0,  
76.  
77.    AttributePropertySet = 0xF0,   
78.    AttributeLoggedUtilityStream = 0x100,   
79.    AttributeEnd=0xFFFFFFFF   
80.} ATTRIBUTE_TYPE, *PATTRIBUTE_TYPE;  
81.  
82.typedef struct {   
83.    ATTRIBUTE_TYPE AttributeType;   
84.    ULONG Length; //本属性长度(包含属性值)   
85.    BOOLEAN Nonresident; //本属性不是 驻留 属性么?   
86.    UCHAR NameLength; //属性名的名称长度   
87.    USHORT NameOffset;//属性名偏移   
88.    USHORT Flags; // 0x0001 压缩 0x4000 加密 0x8000稀疏文件   
89.    USHORT AttributeNumber;   
90.} ATTRIBUTE, *PATTRIBUTE;  
91.  
92.typedef struct {   
93.    ATTRIBUTE Attribute;   
94.    ULONG ValueLength; //属性值长度   
95.    USHORT ValueOffset; //属性值偏移   
96.    USHORT Flags; // 索引标志 0x0001 = Indexed   
97.} RESIDENT_ATTRIBUTE, *PRESIDENT_ATTRIBUTE;  
98.  
99.typedef struct {   
100.    ATTRIBUTE Attribute;   
101.    ULONGLONG LowVcn;   
102.    ULONGLONG HighVcn;   
103.    USHORT RunArrayOffset;   
104.    UCHAR CompressionUnit;   
105.    UCHAR AlignmentOrReserved[5];   
106.    ULONGLONG AllocatedSize;   
107.    ULONGLONG DataSize;   
108.    ULONGLONG InitializedSize;   
109.    ULONGLONG CompressedSize;    // Only when compressed   
110.} NONRESIDENT_ATTRIBUTE, *PNONRESIDENT_ATTRIBUTE;  
111.  
112.typedef struct { //文件名属性的值区域   
113.    ULONGLONG DirectoryFileReferenceNumber; //父目录的FRN   
114.    ULONGLONG CreationTime;   
115.    ULONGLONG ChangeTime;   
116.    ULONGLONG LastWriteTime; // 最后一次MFT更新时间   
117.    ULONGLONG LastAccessTime;   
118.    ULONGLONG AllocatedSize; // 未明   
119.    ULONGLONG DataSize; // 偶尔与文件大小GetFileSize不同   
120.    ULONG FileAttributes;   
121.    ULONG AlignmentOrReserved;   
122.    UCHAR NameLength;   
123.    UCHAR NameType; //POSIX 0x0  WIN32 0x01  DOS 0x02  WIN32&DOS 0x3   
124.    WCHAR Name[1];   
125.} FILENAME_ATTRIBUTE, *PFILENAME_ATTRIBUTE;  
126.  
127.typedef struct {   
128.    ATTRIBUTE_TYPE AttributeType;   //属性类型   
129.    USHORT Length;                  //本记录长度   
130.    UCHAR NameLength;               //属性名长度   
131.    UCHAR NameOffset;               //属性名偏移   
132.    ULONGLONG LowVcn;               //起始VCN   
133.    ULONGLONG FileReferenceNumber;  //属性的文件参考号   
134.    USHORT AttributeNumber;         //标识   
135.    WCHAR Name[1];   
136.} ATTRIBUTE_LIST, *PATTRIBUTE_LIST;  
137.  
138.#pragma pack(push,1)   
139.typedef struct { //512B   
140.    UCHAR Jump[3];//跳过3个字节   
141.    UCHAR Format[8]; //‘N’'T' 'F' 'S' 0x20 0x20 0x20 0x20   
142.    USHORT BytesPerSector;//每扇区有多少字节 一般为512B 0x200   
143.    UCHAR SectorsPerCluster;//每簇有多少个扇区   
144.    USHORT BootSectors;//   
145.    UCHAR Mbz1;//保留0   
146.    USHORT Mbz2;//保留0   
147.    USHORT Reserved1;//保留0   
148.    UCHAR MediaType;//介质描述符,硬盘为0xf8   
149.    USHORT Mbz3;//总为0   
150.    USHORT SectorsPerTrack;//每道扇区数,一般为0x3f   
151.    USHORT NumberOfHeads;//磁头数   
152.    ULONG PartitionOffset;//该分区的便宜(即该分区前的隐含扇区数 一般为磁道扇区数0x3f 63)   
153.    ULONG Reserved2[2];   
154.    ULONGLONG TotalSectors;//该分区总扇区数   
155.    ULONGLONG MftStartLcn;//MFT表的起始簇号LCN   
156.    ULONGLONG Mft2StartLcn;//MFT备份表的起始簇号LCN   
157.    ULONG ClustersPerFileRecord;//每个MFT记录包含几个簇  记录的字节不一定为:ClustersPerFileRecord*SectorsPerCluster*BytesPerSector  
158.    ULONG ClustersPerIndexBlock;//每个索引块的簇数   
159.    ULONGLONG VolumeSerialNumber;//卷序列号   
160.    UCHAR Code[0x1AE];   
161.    USHORT BootSignature;   
162.} BOOT_BLOCK, *PBOOT_BLOCK;   
163.#pragma pack(pop)  


 

你可能感兴趣的:(VC++神奇理论)