让我们说NTFS的日记功能已启用,但我不希望将某些文件的更改记录添加到日志中。这可能吗?如果没有,有没有办法即使将与特定文件相关的更改添加到USN日志中,我也只能删除与该特定文件相关的记录?从我到目前为止所读到的内容,您可以使用去碎片API或使用fsutil工具而不是单个记录一次删除整个日记。
任何帮助将不胜感激。
答案 0 :(得分:2)
这是真的。当期刊存在时,您无法隐藏文件更改。并且你不能以常规方式删除单个usn记录。正如Xearinox指出的那样,操纵数据的唯一方法是通过直接磁盘写操作。
如果您对此感兴趣,这就是您想要阅读的内容:
Keeping an Eye on Your NTFS Drives: the Windows 2000 Change Journal Explained
Keeping an Eye on Your NTFS Drives, Part II: Building a Change Journal Application
简而言之:USN期刊是一系列非碎片的USN记录。更新序列号实际上只是一个偏移量。 [1]因此整个结构非常简单。
Change Journal总是将新记录写入文件的末尾,因此实现者选择使用记录的文件偏移作为其USN
资料来源:Keeping an Eye on Your NTFS Drives: the Windows 2000 Change Journal Explained