在Delphi中实现Change Journal(第2步)

Question

继续我之前的问题,我能够使用这个delphi单元使用这个EnumMFTEntries()函数实现疯狂的FAST驱动器扫描,但是我无法完成以下任务:

任务1:查询change journal以获取新修改的文​​件(更改,重命名,删除等...)

在阅读了该函数以及 StCroixSkipper的USN Journal Explorer(在C#中)后,我修改了这个破坏的例程.EnumMFTEntries()

由于某种原因,报告的文件名始终为#0

function EnumUsnEntries(ARootHandle : Cardinal; AMFTEnumBuff : Pointer; EnumCallBack : TMFTEnumCallback) : Boolean;
var
   P         : Pointer;
   UsnEnum   : Pointer;
   BytesRet  : Cardinal;

   PUSN           : PUSNRecord;
   ReadUSN        : TReadUSNJournalData;
   PReadUSN       : PReadUSNJournalData;
   UsnJournalData : TUSNJournalData;
   BUF_SIZE       : Integer;
begin
     Result            := False;
     if (ARootHandle = INVALID_HANDLE_VALUE) OR (AMFTEnumBuff = nil) then
        Exit;

     QueryUSNJournal(ARootHandle, UsnJournalData);
     with ReadUSN do
     begin
          StartUsn          := UsnJournalData.NextUsn;
          ReasonMask        := USN_REASON_DATA_OVERWRITE OR USN_REASON_DATA_EXTEND OR USN_REASON_NAMED_DATA_OVERWRITE OR USN_REASON_NAMED_DATA_TRUNCATION OR
                               USN_REASON_FILE_CREATE OR USN_REASON_FILE_DELETE OR USN_REASON_EA_CHANGE OR USN_REASON_SECURITY_CHANGE OR
                               USN_REASON_RENAME_OLD_NAME OR USN_REASON_RENAME_NEW_NAME OR USN_REASON_INDEXABLE_CHANGE OR USN_REASON_BASIC_INFO_CHANGE OR
                               USN_REASON_HARD_LINK_CHANGE OR USN_REASON_COMPRESSION_CHANGE OR USN_REASON_ENCRYPTION_CHANGE OR
                               USN_REASON_OBJECT_ID_CHANGE OR USN_REASON_REPARSE_POINT_CHANGE OR USN_REASON_STREAM_CHANGE OR USN_REASON_CLOSE;
          ReturnOnlyOnClose := 0;
          Timeout           := 0;
          BytesToWaitFor    := 0;
          UsnJournalID      := UsnJournalData.UsnJournalID;
     end;    // with

     BUF_SIZE          := SizeOf(ReadUSN);
     GetMem(P, BUF_SIZE);
     try
        ZeroMemory(P, BUF_SIZE);
        while DeviceIoControl(ARootHandle, FSCTL_READ_USN_JOURNAL, Addr(ReadUSN){UsnEnum}, SizeOf(ReadUSN{TReadUSNJournalData}), P, BUF_SIZE, BytesRet, nil) do
        begin
             PUSN      := PUSNRecord{PReadUSNJournalData}(Integer(P) + SizeOf(Int64));
             while (BytesRet > 0{60}) do
             begin
                  if Not EnumCallBack(PUSN, nil{Extra}) then
                     Exit;

                  if PUSN.RecordLength > 0 then
                     Dec(BytesRet, PUSN.RecordLength)
                  else
                      Break;
                  PUSN := PUSNRecord(Cardinal(PUSN) + PUSN.RecordLength);
             end;    // while
             CopyMemory(UsnEnum{MFTEnum}, P, SizeOf(Int64));
        end;    // while

        Result         := True;
     finally
            FreeMem(P);
     end;    // try/finally
end;

---

任务#2:限制扫描到某个文件夹？

如果我没有弄错,似乎可以通过在EnumMFTEntries()函数中定义它来部分地这样做,但是不清楚如何做到这一点.StartUsn

任务#3:获取文件名的完整路径？

例如,EnumMFTEntries()始终只返回名称及其父文件夹引用号,不清楚获取完整路径的最快方法是什么.

---

我希望我不要求太多,这些任务真的密切相关,我真的希望社区能帮助这里让Delphi开发人员轻松实现疯狂的快速文件夹扫描.尽管它有用,但改变期刊/ MFT是最有趣但尚未被遗忘的技术之一.这必须改变!

Answer 1

在任务 #2 上：您可以通过首先发出 FSCTL_READ_FILE_USN_DATA 来获取上次更改的 usn 编号，然后发出 FSTCL_READ_USN_JOURNAL 并将 StartUsn 成员分配给该 usn 编号来将 usn 数据搜索限制到特定文件/目录，以获取有关更改的有效信息（timrstamp、原因） ）。然而，这种方式只能获得最后的变化。要获得所有更改，我认为只能通过特定文件参考号过滤读取的 usn 日志数据。更多信息请参见 MSDN 库。