[[406308]]

本文介紹通過ReadDirectoryChangesW()來編寫一個監(jiān)視目錄變化的程序。

對目錄及目錄中的文件實時監(jiān)控，可以有效地發(fā)現(xiàn)文件被改動的情況。就好像在本地安裝IIS服務(wù)器，并搭建一個網(wǎng)站平臺，有時候會遭到黑客的篡改，而程序員無法及時地恢復被篡改的頁面，導致出現(xiàn)了非常不好的影響。如果能及時地發(fā)現(xiàn)網(wǎng)頁被篡改，并及時地恢復本來的頁面就好了，那么該如何做呢？

下面通過一個簡單的例子來介紹如何監(jiān)控某目錄及目錄下文件的變動情況。首先需要了解的函數(shù)為ReadDirectoryChangesW()，其定義如下： 

BOOL ReadDirectoryChangesW(  
 HANDLE hDirectory,  
 LPVOID lpBuffer,  
 DWORD nBufferLength,  
 BOOL bWatchSubtree,  
 DWORD dwNotifyFilter,  
 LPDWORD lpBytesReturned,  
 LPOVERLAPPED lpOverlapped,  
 LPOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine  
); 

參數(shù)說明如下。

hDirectory：該參數(shù)指向一個要監(jiān)視目錄的句柄。該目錄需要用 FILE_LIST_DIRECTORY的訪問權(quán)限打開。

lpBuffer：該參數(shù)指向一個內(nèi)存的緩沖區(qū)，它用來存放返回的結(jié)果。結(jié)果為一個 FILE_NOTIFY_INFORMATION 的數(shù)據(jù)結(jié)構(gòu)。

nBufferLength：表示緩沖區(qū)的大小。

bWatchSubtree：該參數(shù)為 TRUE 時，表示監(jiān)視指定目錄下的文件及子目錄下的文件操作。如果該參數(shù)為 FALSE，則只監(jiān)視指定目錄下的文件，不包含子目錄下的文件。

dwNotifyFilter：該參數(shù)指定要返回何種文件變更后的類型，該參數(shù)的常量值參見 MSDN。

lpBytesReturned：該參數(shù)返回傳給 lpBuffer 結(jié)果的字節(jié)數(shù)。

lpOverlapped：該參數(shù)執(zhí)行一個 OVERLAPPED 結(jié)構(gòu)體，該結(jié)構(gòu)體用于異步操作，否則該數(shù)據(jù)為 NULL。

ReadDirectoryChangesW()函數(shù)的使用非常簡單，下面通過一個例子介紹其使用。該例子是對E盤目錄進行監(jiān)控，將程序編寫完成后對E盤進行簡單的文件操作，以觀察程序的輸出結(jié)構(gòu)。完整的代碼如下： 

#include <windows.h>  
#include <stdio.h>  
extern "C"  
BOOL  
WINAPI  
ReadDirectoryChangesW(  
  __in HANDLE hDirectory,  
  __out_bcount_part(nBufferLength, *lpBytesReturned) LPVOIDlpBuffer,  
  __in DWORD nBufferLength,  
  __in BOOL bWatchSubtree,  
  __in DWORD dwNotifyFilter,  
  __out LPDWORD lpBytesReturned,  
  __inout LPOVERLAPPED lpOverlapped,  
  __in_opt LPOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine  
 ); 
DWORD WINAPI ThreadProc(LPVOID lpParam)  
{  
  BOOL bRet = FALSE;  
  BYTE Buffer[1024] = { 0 };  
  FILE_NOTIFY_INFORMATION *pBuffer = (FILE_NOTIFY_INFORMATION *)Buffer;  
  DWORD BytesReturned = 0;  
  HANDLE hFile = CreateFile("e:\\",  
    FILE_LIST_DIRECTORY,  
    FILE_SHARE_READ|FILE_SHARE_DELETE|FILE_SHARE_WRITE,  
    NULL,OPEN_EXISTING,FILE_FLAG_BACKUP_SEMANTICS,NULL);  
  if ( INVALID_HANDLE_VALUE == hFile )  
  {  
    return 1;  
  }  
  printf("monitor... \r\n");  
  while ( TRUE )  
  {  
    ZeroMemory(Buffer, 1024);  
    bRet = ReadDirectoryChangesW(hFile,&Buffer,sizeof(Buffer),TRUE,  
      FILE_NOTIFY_CHANGE_FILE_NAME | // 修改文件名  
      FILE_NOTIFY_CHANGE_ATTRIBUTES | // 修改文件屬性  
      FILE_NOTIFY_CHANGE_LAST_WRITE , // 最后一次寫入  
      &BytesReturned,NULL, NULL);  
    if ( bRet == TRUE )  
    {  
      char szFileName[MAX_PATH] = { 0 };  
      // 寬字符轉(zhuǎn)換多字節(jié)  
      WideCharToMultiByte(CP_ACP,0,pBuffer->FileName,  
        pBuffer->FileNameLength / 2,szFileName,  
        MAX_PATH,NULL,NULL);  
      switch(pBuffer->Action)  
      {  
        // 添加  
        case FILE_ACTION_ADDED:  
          {  
            printf("添加 : %s\r\n", szFileName);  
            break;  
          }  
          // 刪除  
        case FILE_ACTION_REMOVED:  
          {  
            printf("刪除 : %s\r\n", szFileName); 
            break;  
          }  
          // 修改  
        case FILE_ACTION_MODIFIED:  
          {  
            printf("修改 : %s\r\n", szFileName);  
            break; 
          }  
          // 重命名 
         case FILE_ACTION_RENAMED_OLD_NAME:  
          {  
            printf("重命名 : %s", szFileName);  
            if ( pBuffer->NextEntryOffset != 0 )  
            {  
              FILE_NOTIFY_INFORMATION *tmpBuffer = (FILE_NOTIFY_INFORMATION *)  
                ((DWORD)pBuffer + pBuffer->NextEntryOffset);  
              switch ( tmpBuffer->Action )  
              {  
              case FILE_ACTION_RENAMED_NEW_NAME:  
                {  
                  ZeroMemory(szFileName, MAX_PATH);  
                  WideCharToMultiByte(CP_ACP,0,  
                    tmpBuffer->FileName,tmpBuffer->FileNameLength / 2,  
                    szFileName,MAX_PATH,NULL,NULL);  
                  printf(" -> : %s \r\n", szFileName);  
                  break;  
                }  
              }  
            }  
            break;  
          }  
        case FILE_ACTION_RENAMED_NEW_NAME:  
          {  
            printf("重命名(new) : %s\r\n", szFileName);  
          }  
        }  
      }  
    }  
    CloseHandle(hFile);  
    return 0;  
}  
int main(int argc, char* argv[])  
{  
  HANDLE hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);  
  if ( hThread == NULL )  
  {  
    return -1;  
  }  
  WaitForSingleObject(hThread, INFINITE);  
  CloseHandle(hThread);  
  return 0;  
} 

將程序編譯連接并運行，在E盤下進行簡單的操作，查看程序?qū)盤的監(jiān)視輸出記錄，如圖1所示。

圖1  目錄監(jiān)控輸出記錄

對于目錄監(jiān)視的這個例子，可以將其改為一個簡單的文件防篡改程序。首先將要監(jiān)視的文件目錄進行備份，然后對文件目錄進行監(jiān)視，如果有文件發(fā)生了修改，那么就使用備份目錄下的指定文件恢復被修改的文件。