转载:https://www.iteye.com/blog/univasity-805234    https://blog.51cto.com/velika/1440105

源码:https://files.cnblogs.com/files/Toya/USN.7z

本程序需要管理员权限

 #include<iostream>

 #include<stdio.h>

 #include<string>

 #include<tchar.h>

 #include<Windows.h>

 using namespace std;

 bool isNTFS(string path);

 HANDLE getHandle(string volName);

 bool createUSN(HANDLE hVol, CREATE_USN_JOURNAL_DATA& cujd);

 bool getUSNInfo(HANDLE hVol, USN_JOURNAL_DATA& ujd);

 bool getUSNJournal(HANDLE hVol, USN_JOURNAL_DATA& ujd);

 bool deleteUSN(HANDLE hVol, USN_JOURNAL_DATA& ujd);

 int main(){

     //isNTFS("C:/");

     CREATE_USN_JOURNAL_DATA* cujd = new CREATE_USN_JOURNAL_DATA;

     USN_JOURNAL_DATA* ujd = new USN_JOURNAL_DATA;

     HANDLE hVol = getHandle("C:");

     createUSN(hVol, *cujd);

     getUSNInfo(hVol, *ujd);

     getUSNJournal(hVol, *ujd);

     deleteUSN(hVol, *ujd);

     system("pause");

     return ;

 }

 //判断是否是NTFS盘

 bool isNTFS(string path){//"C:/"

     char sysNameBuf[MAX_PATH];

     int status = GetVolumeInformationA(path.c_str(),

         NULL,

         ,

         NULL,

         NULL,

         NULL,

         sysNameBuf,

         MAX_PATH);

     if ( != status){

         if ( == strcmp(sysNameBuf, "NTFS")){

             //printf(" 文件系统名 : %s\n", sysNameBuf);

             cout << "盘符:" << path << "\n文件系统名:" << sysNameBuf << endl;

             return true;

         }

         else {

             printf(" 该驱动盘非 NTFS 格式 \n");

             return false;

         }

     }

     return false;

 }

 /**

 * step 02. 获取驱动盘句柄

 */

 HANDLE getHandle(string volName){

     char fileName[MAX_PATH];

     fileName[] = '\0';

     // 传入的文件名必须为\\.\C:的形式

     strcpy_s(fileName, "\\\\.\\");

     strcat_s(fileName, volName.c_str());

     // 为了方便操作,这里转为string进行去尾

     string fileNameStr = (string)fileName;

     fileNameStr.erase(fileNameStr.find_last_of(":") + );

     printf("驱动盘地址: %s\n", fileNameStr.data());

     // 调用该函数需要管理员权限

     HANDLE hVol = CreateFileA(fileNameStr.data(),

         GENERIC_READ | GENERIC_WRITE, // 可以为0

         FILE_SHARE_READ | FILE_SHARE_WRITE, // 必须包含有FILE_SHARE_WRITE

         NULL, // 这里不需要

         OPEN_EXISTING, // 必须包含OPEN_EXISTING, CREATE_ALWAYS可能会导致错误

         FILE_ATTRIBUTE_READONLY, // FILE_ATTRIBUTE_NORMAL可能会导致错误

         NULL); // 这里不需要  

     if (INVALID_HANDLE_VALUE != hVol){

         //getHandleSuccess = true;

         cout << "获取驱动盘句柄成功!\n";

         return hVol;

     }

     else{

         printf("获取驱动盘句柄失败 —— handle:%x error:%d\n", hVol, GetLastError());

         return ;

     }

     return ;

 }

 /**

 * step 03. 初始化USN日志文件

 */

 bool createUSN(HANDLE hVol, CREATE_USN_JOURNAL_DATA& cujd){

     DWORD br;

     cujd.MaximumSize = ; // 0表示使用默认值

     cujd.AllocationDelta = ; // 0表示使用默认值

     bool status = DeviceIoControl(hVol,

         FSCTL_CREATE_USN_JOURNAL,

         &cujd,

         sizeof(cujd),

         NULL,

         ,

         &br,

         NULL);

     if ( != status){

         //initUsnJournalSuccess = true;

         return true;

     }

     else{

         printf("初始化USN日志文件失败 —— status:%x error:%d\n", status, GetLastError());

         return false;

     }

     return false;

 }

 /**

 * step 04. 获取USN日志基本信息(用于后续操作)

 * msdn:http://msdn.microsoft.com/en-us/library/aa364583%28v=VS.85%29.aspx

 */

 bool getUSNInfo(HANDLE hVol, USN_JOURNAL_DATA& ujd){

     bool getBasicInfoSuccess = false;

     DWORD br;

     bool status = DeviceIoControl(hVol,

         FSCTL_QUERY_USN_JOURNAL,

         NULL,

         ,

         &ujd,

         sizeof(ujd),

         &br,

         NULL);

     if ( != status){

         //getBasicInfoSuccess = true;

         printf("获取USN日志基本信息成功\n");

         return true;

     }

     else{

         printf("获取USN日志基本信息失败 —— status:%x error:%d\n", status, GetLastError());

         return false;

     }

     return false;

 }

 bool getUSNJournal(HANDLE hVol, USN_JOURNAL_DATA& ujd){

     MFT_ENUM_DATA_V0 med;

     med.StartFileReferenceNumber = ;

     med.LowUsn = ujd.FirstUsn;

     med.HighUsn = ujd.NextUsn;

 #define BUF_LEN 4096

     CHAR buffer[BUF_LEN]; // 用于储存记录的缓冲 , 尽量足够地大

     DWORD usnDataSize = ;

     PUSN_RECORD UsnRecord;

     while ( != DeviceIoControl(hVol,

         FSCTL_ENUM_USN_DATA,

         &med,

         sizeof (med),

         buffer,

         BUF_LEN,

         &usnDataSize,

         NULL))

     {

         DWORD dwRetBytes = usnDataSize - sizeof (USN);

         // 找到第一个 USN 记录

         // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx ):

         // return a USN followed by zero or more change journal records, each in a USN_RECORD structure.

         UsnRecord = (PUSN_RECORD)(((PCHAR)buffer) + sizeof (USN));

         printf(" ********************************** \n");

         while (dwRetBytes>){

             // 打印获取到的信息

             const int strLen = UsnRecord->FileNameLength;

             char fileName[MAX_PATH] = {  };

             WideCharToMultiByte(CP_OEMCP, NULL, UsnRecord->FileName, strLen / , fileName, strLen, NULL, FALSE);

             printf("FileName: %s\n", fileName);

             // 下面两个 file reference number 可以用来获取文件的路径信息

             printf("FileReferenceNumber: %xI64\n", UsnRecord->FileReferenceNumber);

             printf("ParentFileReferenceNumber: %xI64\n", UsnRecord->ParentFileReferenceNumber);

             printf("\n");

             // 获取下一个记录

             DWORD recordLen = UsnRecord->RecordLength;

             dwRetBytes -= recordLen;

             UsnRecord = (PUSN_RECORD)(((PCHAR)UsnRecord) + recordLen);

         }

         // 获取下一页数据, MTF 大概是分多页来储存的吧?

         // from MSDN(http://msdn.microsoft.com/en-us/library/aa365736%28v=VS.85%29.aspx ):

         // The USN returned as the first item in the output buffer is the USN of the next record number to be retrieved.

         // Use this value to continue reading records from the end boundary forward.

         med.StartFileReferenceNumber = *(USN *)&buffer;

     }

     return true;

 }

 /**

 * step 06. 删除 USN 日志文件 ( 当然也可以不删除 )

 */

 bool deleteUSN(HANDLE hVol, USN_JOURNAL_DATA& ujd){

     DELETE_USN_JOURNAL_DATA dujd;

     dujd.UsnJournalID = ujd.UsnJournalID;

     dujd.DeleteFlags = USN_DELETE_FLAG_DELETE;

     DWORD br;

     int status = DeviceIoControl(hVol,

         FSCTL_DELETE_USN_JOURNAL,

         &dujd,

         sizeof (dujd),

         NULL,

         ,

         &br,

         NULL);

     if ( != status){

         CloseHandle(hVol);

         printf(" 成功删除 USN 日志文件 !\n");

         return true;

     }

     else {

         CloseHandle(hVol);

         printf(" 删除 USN 日志文件失败 —— status:%x error:%d\n", status, GetLastError());

         return false;

     }

     return false;

 }

运行结果:

USN日志的更多相关文章

  1. NTFS文件系统简介(转载)

    原文地址:http://www.cnblogs.com/watertao/archive/2011/11/28/2266595.html 1.简介 NTFS(New Technology File S ...

  2. (其他)window10上好用的软件

    1.everything:比我用电脑搜索快一些,(常用的搜索其实熟悉电脑的都会,不过想快一点) 如果你曾对效率工具有过研究,想必对 Everything 的名字不会陌生.这款仅有 1.3 MB 的小软 ...

  3. NTFS文件系统简介

    原文地址:http://www.cnblogs.com/watertao/archive/2011/11/28/2266595.html 1.简介 NTFS(New Technology File S ...

  4. Windows下的搜索神器 —— everything

    介绍一款Windows下的神奇 -- everything,软件很小巧,但是搜索速度非常快,比Windows自带的搜索功能更强大.更快.掌握它的基本用法,在查找文件时能提升很高的效率 1.下载 2.基 ...

  5. why "Everything" is so fast?

    Everything并不扫描整个磁盘,只是读取磁盘上的USN日志,所以速度飞快.但因此缺点也明显:1.只支持NTFS格式的分区,因为USN日志是NTFS专有的.在FAT.FAT32格式分区上无法使用E ...

  6. kali linux之取证

    取证简介: CSI:物理取证 指纹.DNA.弹道.血迹 无力取证的理论基础是物质交换原则 数字取证/计算机取证 智能设备.计算机.手机平板.loT.有线及无线信道.数据存储 事件响应调查------黑 ...

  7. [转载]Delphi 版 everything、光速搜索代码

    近日没啥事情,研究了一下 everything.光速搜索原理.花了一个礼拜时间,终于搞定. 废话不多说,直接上代码: unit uMFTSearchFile; { dbyoung@sina.com 2 ...

  8. 仿照everything写的一个超级速查 原创

    http://files.cnblogs.com/files/jacd/%E8%B6%85%E9%80%9F%E6%9F%A5%E6%96%87%E4%BB%B6.zip 速度奇快无比,体积奇小无比, ...

  9. <Win7硬件故障分析>

    查看当前系统正在运行的硬件信息. 右击计算机——属性——设备管理器看到下面: 一些常见的硬件故障: 主板故障 >开机不正常,偶尔出现突然的断电现象 >明明自己选择了关机,但是还是无法关机或 ...

随机推荐

  1. yum源文件

    yum源文件 2017年11月22日 11:59:36 cakincqm 阅读数 1052更多 分类专栏: Linux   版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附 ...

  2. Fiddler修改http请求响应简单实例

    Fiddler是一个http调试代理,它能够记录并检查所有你的电脑和互联网之间的http通讯. 主要功能 设置断点,查看Fiddle说有的进出的数据(指cookie,html,js,css等文件,这些 ...

  3. 04hive查询

    详细文档查看:https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Select 一. 基本查询(SELECT …FROM) ...

  4. C#面向对象三大特性:多态

    什么是多态 公司最近为了陶冶情操,养了几种动物(Animal),有猫(Cat).狗(Dog).羊(Sheep),这些动物都有共同的特性,会吃(Eat).会叫(Shout),但是它们吃的不同,叫的也不同 ...

  5. toSum

    Given an array of integers, return indices of the two numbers such that they add up to a specific ta ...

  6. ES6-形参默认值

    在定义一个函数的时候,我们定义了几个函数的参数,但是在调用的时候我们可能并没有传入足够的参数,那么未被满足的参数的值就是undefined,在ES6中如果有这种情况我们可以给形参一个默认值,如果该形参 ...

  7. 【转载】 BIOS设置选项详细解释——CPU核心篇

    原文地址: http://kuaibao.qq.com/s/20180226A1G1OC00?refer=spider ---------------------------------------- ...

  8. php虚拟主机下实现定时任务(仅供参考)

    因为要做简单的中控  在实现心跳包的时候遇到了困难 正常的心跳包思路是这样的  举个例子 我写一个登陆签到脚本   当我登陆成功的时候 会把登陆成功这个状态传递给网络上的中控端 当我签到完成的时候会把 ...

  9. mysql设置定时任务(对于中控心跳包的实现有意义)

    转载:https://www.cnblogs.com/laowu-blog/p/5073665.html 目前用途:因为 脚本正常开关会给中控发送消息 但是万一脚本被强制关闭 没有触发脚本关闭事件就无 ...

  10. Django ORM 常用的13个方法

    介绍一个可以以py脚本方式运行ORM操作的方法: 可在项目内新建个py文件,复制项目内manage.py文件中的以下代码: if __name__ == "__main__": o ...