Comment détecter efficacement les modifications de fichiers sur un volume NTFS à l'aide de FSCTL_ENUM_USN

Maison

développement back-end

C++

Comment détecter efficacement les modifications de fichiers sur un volume NTFS à l'aide de FSCTL_ENUM_USN_DATA ?

Patricia Arquette

Oct 30, 2024 pm 01:03 PM

How Can You Efficiently Detect File Changes on an NTFS Volume Using FSCTL_ENUM_USN_DATA?

Détection efficace des modifications de fichiers sur un volume NTFS à l'aide de FSCTL_ENUM_USN_DATA

Arrière-plan

Les méthodes de sauvegarde existantes, qui vérifient le bit d'archive de chaque fichier, peuvent devenir lentes et inefficace pour les grands systèmes de fichiers. Cette approche nécessite d'analyser tous les fichiers, y compris les fichiers temporaires, et peut entraîner de longs processus de sauvegarde.

Approche alternative utilisant le système de fichiers USN

Une méthode plus efficace consiste à utiliser le système de fichiers USN (séquence de mise à jour Numéro) journal des changements. Le système de fichiers USN fournit un enregistrement pour chaque modification apportée au système de fichiers, y compris la création, la suppression et la modification de fichiers.

Comment fonctionne FSCTL_ENUM_USN_DATA

Pour détecter les modifications sur un volume NTFS, nous pouvons utiliser le Code de contrôle FSCTL_ENUM_USN_DATA. Ce code de contrôle :

Énumère tous les fichiers d'un volume, y compris uniquement ceux actuellement existants.
Récupère les données critiques pour chaque fichier, notamment :
- Drapeaux de fichiers
- USN
- Noms de fichiers
- Numéros de référence des fichiers parents

Implémentation de la détection des changements

Pour détecter les changements :

Obtenir les données USN du système de fichiers : Utilisez FSCTL_QUERY_USN_JOURNAL pour obtenir l'USN maximum du système (maxusn).
Énumérer les enregistrements USN : Utilisez une boucle pour parcourir les enregistrements USN à l'aide de FSCTL_ENUM_USN_DATA.
Identifier les enregistrements pertinents : Vérifiez les indicateurs et comparez les USN pour détecter les fichiers créés, supprimés ou modifiés.
Résoudre les chemins parents : Faites correspondre les numéros de référence des fichiers parents avec les numéros de référence des répertoires pour obtenir des chemins de fichiers complets.

Exemple de code en C

Voici un extrait de code qui illustre l'approche :

<code class="c++">DWORDLONG nextid;
DWORDLONG filecount = 0;
DWORD starttick, endtick;

// Allocate memory for USN records
void * buffer = VirtualAlloc(NULL, BUFFER_SIZE, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

// Open volume handle
HANDLE drive = CreateFile(L"\\?\c:", GENERIC_READ, FILE_SHARE_DELETE | FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_FLAG_NO_BUFFERING, NULL);

// Get volume USN journal data
USN_JOURNAL_DATA * journal = (USN_JOURNAL_DATA *)buffer;
if (!DeviceIoControl(drive, FSCTL_QUERY_USN_JOURNAL, NULL, 0, buffer, BUFFER_SIZE, &bytecount, NULL)) {
  (...)
}
maxusn = journal->MaxUsn;

MFT_ENUM_DATA mft_enum_data;
mft_enum_data.StartFileReferenceNumber = 0;
mft_enum_data.LowUsn = 0;
mft_enum_data.HighUsn = maxusn;

while (...) {
  if (!DeviceIoControl(drive, FSCTL_ENUM_USN_DATA, &mft_enum_data, sizeof(mft_enum_data), buffer, BUFFER_SIZE, &bytecount, NULL)) {
    (...)
  }

  nextid = *((DWORDLONG *)buffer);
  USN_RECORD * record = (USN_RECORD *)((USN *)buffer + 1);
  USN_RECORD * recordend = (USN_RECORD *)(((BYTE *)buffer) + bytecount);

  while (record RecordLength);
  }
  mft_enum_data.StartFileReferenceNumber = nextid;
}</code>

Considérations relatives aux performances

L'approche utilisant FSCTL_ENUM_USN_DATA offre :

Processus d'énumération rapide : Capable de traiter plus de 6 000 enregistrements par seconde.
Filtrage efficace : Seuls les enregistrements de modifications de fichiers pertinents sont analysés, éliminant ainsi la surcharge des fichiers temporaires.
Potentiel limitations :Les performances peuvent varier sur de très gros volumes, mais elles sont généralement plus efficaces que la vérification des bits d'archive.

Notes supplémentaires

Remplacez MFT_ENUM_DATA par MFT_ENUM_DATA_V0 sous Windows versions ultérieures à Windows 7.
Les numéros de référence des fichiers sont imprimés en 32 bits, ce qui est une erreur. Dans le code de production, il est recommandé d'utiliser des valeurs 64 bits.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Gulc: Cibliothèque C construite à partir de zéroMar 03, 2025 pm 05:46 PM

Gulc est une bibliothèque C haute performance priorisant les frais généraux minimaux, l'inclinaison agressive et l'optimisation du compilateur. Idéal pour les applications critiques de performance comme le trading à haute fréquence et les systèmes intégrés, sa conception met l'accent sur la simplicité, le module

Quels sont les types de valeurs renvoyées par les fonctions du langage C? Qu'est-ce qui détermine la valeur de retour?Mar 03, 2025 pm 05:52 PM

Cet article détaille les types de retour de la fonction C, englobant de base (int, float, char, etc.), dérivé (tableaux, pointeurs, structures) et types de vide. Le compilateur détermine le type de retour via la déclaration de fonction et l'instruction de retour, appliquant

Quelles sont les définitions et les règles d'appel des fonctions du langage C et quelles sont lesMar 03, 2025 pm 05:53 PM

Cet article explique la déclaration de la fonction C par rapport à la définition, l'argument passant (par valeur et par pointeur), les valeurs de retour et les pièges communs comme les fuites de mémoire et les décalages de type. Il souligne l'importance des déclarations de modularité et de provi

C Fonction Langue Format de lettre ÉTAPES DE CONVERSION DE CASMar 03, 2025 pm 05:53 PM

Cet article détaille les fonctions C pour la conversion de cas de chaîne. Il explique l'utilisation de Toupper () et Tolower () de Ctype.h, itérant à travers les cordes et manipulant des terminateurs nuls. Les pièges communs comme oublier Ctype.h et modifier les littéraux de chaîne sont

Où est la valeur de retour de la fonction de langue C stockée en mémoire?Mar 03, 2025 pm 05:51 PM

Cet article examine le stockage de valeur de retour de la fonction C. De petites valeurs de retour sont généralement stockées dans les registres pour la vitesse; Des valeurs plus importantes peuvent utiliser des pointeurs vers la mémoire (pile ou tas), impactant la durée de vie et nécessitant une gestion manuelle de la mémoire. ACC directement

Comment fonctionne la bibliothèque de modèle standard C (STL)?Mar 12, 2025 pm 04:50 PM

Cet article explique la bibliothèque de modèles standard C (STL), en se concentrant sur ses composants principaux: conteneurs, itérateurs, algorithmes et fonctors. Il détaille comment ces interagissent pour permettre la programmation générique, l'amélioration de l'efficacité du code et de la lisibilité

Utilisation distincte et partage de phrasesMar 03, 2025 pm 05:51 PM

Cet article analyse les utilisations à multiples facettes de l'adjectif "distinct" "explorant ses fonctions grammaticales, des phrases communes (par exemple," distinctes de "" "distinctement différentes") et une application nuancée en formelle vs informelle informelle

Comment utiliser efficacement les algorithmes du STL (trier, trouver, transformer, etc.)?Mar 12, 2025 pm 04:52 PM

Cet article détaille l'utilisation efficace de l'algorithme STL en c. Il met l'accent sur le choix de la structure des données (vecteurs vs listes), l'analyse de la complexité des algorithmes (par exemple, STD :: Srieur vs std :: partial_sort), l'utilisation des itérateurs et l'exécution parallèle. Pièges communs comme

See all articles