Чтение файла транзакции NTFS

[imholynx]

Здравствуйте, задание - вывести содержимое файла транзакции тома NTFS($logfile). Есть ли какие-нибудь задокументированные средства для его считывания или придется считывать напрямую с диска? Если так, то каким образом расшифровать написанное в $LogFile?(документация)
Если не сложно, помогите ссылками на код, который поможет в написании программы.
Язык - C++

[imholynx]

Проблема в том, что я не знаю с чего начать

[Alter]

CreateFile поможет. Может работать с устроуствами, потоками файловыми, и т.д. С Си ничем не могу помочь, использую Delphi.

[imholynx]

Да, спасибо, считать файл смог, но никак не найду внутреннее строение. Какого типа информация должна в нём хранится?
Я представляю, что-то вроде:
Название файла Дата изменения Вид изменения(создание/удаление/)

[p51x]

Цитата:

но никак не найду внутреннее строение

Вы прикидываетесь? В своем первом посте кликнете на документация

[imholynx]

Цитата:

Сообщение от p51x

Вы прикидываетесь? В своем первом посте кликнете на документация

и в документации найдем кучу вопросиков, и комментариев автора в духе "а это известно только самому Билу Гейтсу"

По существу, читал google перевод этой страницы и не нашёл,например, в каком атрибуте хранится информация о действии с файлом(создание/удаление)

[p51x]

Цитата:

а это известно только самому Билу Гейтсу

А что вы хотели? НТФС не открытый стандарт.... ищите по форумам ОСДЕВ

[imholynx]

Снова занялся программой, нашел код, где программист считывает атрибуты MFT зоны, решил с ней поиграть и поэкспериментировать,но не проходит первый while.

Код:

#include "stdafx.h"
#include <atlbase.h>
#include <windows.h>
#include <stdio.h>
#include <winioctl.h> // Windows NT IOCTL коды
#include <malloc.h>


#pragma pack(1)

//Здесь были описаны необходимые структуры

#pragma pack()
byte buf[512];
byte buf_FileRec[1024];

int _tmain(int argc, _TCHAR* argv[])
{
	// открываем логический диск
	HANDLE hDisk = ::CreateFile (_T("\\\\.\\D:"), GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE,
		NULL,
		OPEN_EXISTING,
		0,
		NULL);


	// Проверяем успешно ли закончилась попытка открытия логического диска
	if (hDisk != NULL && hDisk != INVALID_HANDLE_VALUE)
	{
		BYTE buffer [512];
		DWORD dwRead;
		DWORD dwBytesWrite; 
		LONG BeginMFTSector;
		// Читаем первый сектор раздела
		BOOL res = ::ReadFile (hDisk, buffer, 512, &dwRead, NULL);
		// Извлекаем из считанного сектора блок параметров BIOS
		BPB_NTFS sbpbntfs;
		memcpy(&sbpbntfs, buffer + 11, 73);
		// Определяем сектор начала MFT
		BeginMFTSector = sbpbntfs.bSecPerClust * sbpbntfs.FirstMFT;
		// Позиционируемся на начало MFT
		DWORD dwPtrLow = SetFilePointer (hDisk, 512*(BeginMFTSector+16) /*3080601600*/, NULL, FILE_BEGIN);
		// Читаем блок из MFT
		ReadFile(hDisk, buf_FileRec, 1024, &dwRead, NULL);
		// Извлекаем из считанного заголовок файловой записи
		FileRecordHeader fHeader;
		memcpy(&fHeader, buf_FileRec, sizeof(fHeader));
		DWORD OffsetFileRec = 0;

		while(strncmp(fHeader.ID, "FILE", 4) == 0)
		{
			printf("%s\n",fHeader.ID);
			// Читаем из MFT файловую запись
			ReadFile(hDisk, buf_FileRec, 1024, &dwRead, NULL);
			// Извлекаем из считанного заголовок файловой записи
			FileRecordHeader fHeader;
			memcpy(&fHeader, buf_FileRec, sizeof(fHeader));
			// Извлекаем из считанного заголовок атрибута
			StandartAttribHeader stattrHeader;
			WORD attrOffset;
			attrOffset = fHeader.AttribBegOffset;
			memcpy(&stattrHeader, buf_FileRec + attrOffset, sizeof(StandartAttribHeader));
			// Пока не прочли все атрибуты
			while(stattrHeader.ID != fHeader.AttribMaxID - 1)
			{
				// Извлекаем из считанного заголовок очередного атрибута
				attrOffset = attrOffset + stattrHeader.Length;
				memcpy(&stattrHeader, buf_FileRec + attrOffset, sizeof(StandartAttribHeader));
				// Если последний атрибут, выходим из цикла
				if(stattrHeader.Type == 0xffffffff) break;
				switch(stattrHeader.Type)
				{
				case 0x30: // Если тип атрибута имя
					{
						FileNameAttrCont fNameAttr;
						// Извлекаем из считаного содержание атрибута имя
						memcpy(&fNameAttr , buf_FileRec + attrOffset + 24 +
							stattrHeader.ContentOffset, sizeof(FileNameAttrCont ));
						// Если длина имени больше нуля, выводим имя на экран
						if(fNameAttr. LengthName > 0)
						{
							char MultiByteStr[30]; int dj = 0;
							for(int di = 0; di < fNameAttr.LengthName * 2; di = di+2)
							{
								MultiByteStr[dj] = fNameAttr.FileName[di]; dj++;
							}
							MultiByteStr[dj] = '\0';
							printf("%s\n",MultiByteStr);
						}
						break;
					}
				}
			}
			// Определяем смещение следующей файловой записи
			OffsetFileRec = OffsetFileRec + 1024;
			// Позиционируемся на файловую запись
			dwPtrLow = SetFilePointer (hDisk, 512*(BeginMFTSector+32) + OffsetFileRec, NULL,FILE_BEGIN);
		} 

	}
	else printf("Error handle");
	// Закрываем дескриптор
	CloseHandle(hDisk);
	DWORD dwError = ::GetLastError();

	return 0;
}

Подскажите, где ошибка?