ZwQueryDirectoryFile-Funktion (ntifs.h)

Artikel
07/11/2023

Die ZwQueryDirectoryFile-Routine gibt verschiedene Informationen zu Dateien in dem Verzeichnis zurück, das durch ein bestimmtes Dateihandle angegeben wird.

Syntax

NTSYSAPI NTSTATUS ZwQueryDirectoryFile(
  [in]           HANDLE                 FileHandle,
  [in, optional] HANDLE                 Event,
  [in, optional] PIO_APC_ROUTINE        ApcRoutine,
  [in, optional] PVOID                  ApcContext,
  [out]          PIO_STATUS_BLOCK       IoStatusBlock,
  [out]          PVOID                  FileInformation,
  [in]           ULONG                  Length,
  [in]           FILE_INFORMATION_CLASS FileInformationClass,
  [in]           BOOLEAN                ReturnSingleEntry,
  [in, optional] PUNICODE_STRING        FileName,
  [in]           BOOLEAN                RestartScan
);

Parameter

[in] FileHandle

Ein von ZwCreateFile oder ZwOpenFile zurückgegebenes Handle für das Dateiobjekt, das das Verzeichnis darstellt, für das Informationen angefordert werden. Das Dateiobjekt muss für asynchrone E/A geöffnet worden sein, wenn der Aufrufer einen Nicht-NULL-Wert für Event oder ApcRoutine angibt.

[in, optional] Event

Ein optionales Handle für ein vom Anrufer erstelltes Ereignis. Wenn dieser Parameter angegeben wird, wird der Aufrufer in einen Wartezustand versetzt, bis der angeforderte Vorgang abgeschlossen ist und das angegebene Ereignis auf den Signalzustand festgelegt ist. Dieser Parameter ist optional und kann NULL sein. Er muss NULL sein, wenn der Aufrufer wartet, bis fileHandle auf den Signalzustand festgelegt wird.

[in, optional] ApcRoutine

Eine Adresse einer optionalen, vom Anrufer bereitgestellten APC-Routine, die aufgerufen werden soll, wenn der angeforderte Vorgang abgeschlossen ist. Dieser Parameter ist optional und kann NULL sein. Wenn dem Dateiobjekt ein E/A-Vervollständigungsobjekt zugeordnet ist, muss dieser Parameter NULL sein.

[in, optional] ApcContext

Ein optionaler Zeiger auf einen vom Aufrufer bestimmten Kontextbereich, wenn der Aufrufer einen APC bereitstellt oder wenn dem Dateiobjekt ein E/A-Vervollständigungsobjekt zugeordnet ist. Wenn der Vorgang abgeschlossen ist, wird dieser Kontext an den APC übergeben, sofern einer angegeben wurde, oder als Teil der Vervollständigungsmeldung, die der E/A-Manager an das zugehörige E/A-Vervollständigungsobjekt sendet.

Dieser Parameter ist optional und kann NULL sein. Es muss NULL sein, wenn ApcRoutineNULL ist und dem Dateiobjekt kein E/A-Vervollständigungsobjekt zugeordnet ist.

[out] IoStatusBlock

Ein Zeiger auf eine IO_STATUS_BLOCK-Struktur, die die endgültige Vervollständigung status und Informationen zum Vorgang empfängt. Bei erfolgreichen Aufrufen, die Daten zurückgeben, wird die Anzahl der Bytes, die in den FileInformation-Puffer geschrieben wurden, im Element Information der Struktur zurückgegeben.

[out] FileInformation

Ein Zeiger auf einen Ausgabepuffer, der die gewünschten Informationen zur Datei empfängt. Die Struktur der im Puffer zurückgegebenen Informationen wird durch den Parameter FileInformationClass definiert.

[in] Length

Die Größe des Puffers in Bytes, auf den fileInformation verweist. Der Aufrufer sollte diesen Parameter entsprechend der angegebenen FileInformationClass festlegen.

[in] FileInformationClass

Der Typ der Informationen, die zu Dateien im Verzeichnis zurückgegeben werden sollen. Die Liste der möglichen Werte finden Sie im Parameter FileInformationClass von NtQueryDirectoryFileEx .

[in] ReturnSingleEntry

Legen Sie auf TRUE fest, wenn nur ein einzelner Eintrag zurückgegeben werden soll, andernfalls FALSE . Wenn dieser Parameter TRUE ist, gibt ZwQueryDirectoryFile nur den ersten gefundenen Eintrag zurück.

[in, optional] FileName

Ein optionaler Zeiger auf eine vom Aufrufer zugewiesene Unicode-Zeichenfolge, die den Namen einer Datei (oder mehrerer Dateien, wenn Wildcards verwendet werden) innerhalb des von FileHandle angegebenen Verzeichnisses enthält. Dieser Parameter ist optional:

Wenn FileName nicht NULL ist, werden nur Dateien, deren Namen mit der FileName-Zeichenfolge übereinstimmen, in die Verzeichnisüberprüfung einbezogen.
Wenn FileNameNULL ist, sind alle Dateien enthalten, wenn ReturnSingleEntryFALSE ist. eine Datei ist enthalten, wenn ReturnSingleEntryTRUE ist.

Der Dateiname wird als Suchausdruck verwendet und beim ersten Aufruf von ZwQueryDirectoryFile für ein bestimmtes Handle erfasst. Nachfolgende Aufrufe von ZwQueryDirectoryFile verwenden den Suchausdruck, der im ersten Aufruf festgelegt ist. Der FileName-Parameter , der an nachfolgende Aufrufe übergeben wird, wird ignoriert.

[in] RestartScan

Legen Sie auf TRUE fest, wenn der Scan mit dem ersten Eintrag im Verzeichnis gestartet werden soll. Legen Sie auf FALSE fest, wenn Sie die Überprüfung aus einem vorherigen Aufruf fortsetzen.

Wenn die ZwQueryDirectoryFile-Routine für ein bestimmtes Handle aufgerufen wird, wird der RestartScan-Parameter behandelt, als wäre er unabhängig vom Wert auf TRUE festgelegt. Bei nachfolgenden ZwQueryDirectoryFile-Aufrufen wird der Wert des RestartScan-Parameters berücksichtigt.

Rückgabewert

Die ZwQueryDirectoryFile-Routine gibt STATUS_SUCCESS oder einen entsprechenden Fehler status zurück. Der Satz von Fehlern status Werten, die zurückgegeben werden können, ist dateisystemspezifisch. ZwQueryDirectoryFile gibt auch die Anzahl der Bytes zurück, die tatsächlich in den angegebenen FileInformation-Puffer im Informationselement von IoStatusBlock geschrieben wurden. Eine Liste mit einigen möglichen Fehlercodes finden Sie unter NtQueryDirectoryFileEx .

Hinweise

Die ZwQueryDirectoryFile-Routine gibt Informationen zu Dateien zurück, die in dem von FileHandle dargestellten Verzeichnis enthalten sind.

Falls angegeben, bestimmt FileName die Einträge, die in der Verzeichnisüberprüfung für alle nachfolgenden Aufrufe von ZwQueryDirectoryFile für eine bestimmte FileHandle enthalten sind.

Wenn mindestens ein übereinstimmenden Eintrag vorhanden ist, erstellt ZwQueryDirectoryFile eine FILE_XXX_INFORMATION struktur für jeden Eintrag und speichert sie im Puffer.

Unter der Annahme, dass mindestens ein übereinstimmender Verzeichniseintrag gefunden wird, ist die Anzahl der Einträge, für die Informationen zurückgegeben werden, die kleinste der folgenden:

Ein Eintrag, wenn ReturnSingleEntryTRUE und FileNameNULL ist.
Die Anzahl der Einträge, die mit der FileName-Zeichenfolge übereinstimmen, wenn FileName nicht NULL ist. Wenn die Zeichenfolge keine Feldhalter enthält, kann es höchstens einen übereinstimmenden Eintrag geben.
Die Anzahl der Einträge, deren Informationen in den angegebenen Puffer passen.
Die Anzahl der im Verzeichnis enthaltenen Einträge.

Wenn beim ersten Aufruf von ZwQueryDirectoryFile die Struktur, die für den ersten gefundenen Eintrag erstellt wird, zu groß ist, um in den Ausgabepuffer zu passen, führt diese Routine folgendes aus:

Schreibt den festen Teil der Struktur in den Ausgabepuffer von FileInformation. Der feste Teil besteht aus allen Feldern mit Ausnahme der endgültigen FileName-Zeichenfolge . Beim ersten Aufruf, aber nicht bei nachfolgenden Aufrufen, stellt das E/A-System sicher, dass der Puffer groß genug ist, um den festen Teil der entsprechenden FILE_XXX_INFORMATION-Struktur aufzunehmen.
Schreibt in den Ausgabepuffer so viel von der FileName-Zeichenfolge , wie es passt.
Gibt einen entsprechenden status Wert wie STATUS_BUFFER_OVERFLOW zurück.

Bei jedem Aufruf gibt ZwQueryDirectoryFile so viele FILE_XXX_INFORMATION-Strukturen (eine pro Verzeichniseintrag) zurück, die vollständig im Puffer enthalten sein können, auf den fileInformation verweist:

Beim ersten Aufruf gibt ZwQueryDirectoryFile nur STATUS_SUCCESS zurück, wenn der Ausgabepuffer mindestens eine vollständige Struktur enthält.
Wenn der Ausgabepuffer bei nachfolgenden Aufrufen keine Strukturen enthält, gibt ZwQueryDirectoryFile STATUS_SUCCESS zurück, legt aber IoStatusBlock-Information> = 0 fest, um den Aufrufer über diese Bedingung zu benachrichtigen. In diesem Fall sollte der Aufrufer einen größeren Puffer zuordnen und ZwQueryDirectoryFile erneut aufrufen. Es werden keine Informationen über verbleibende Einträge gemeldet. Mit Ausnahme der oben aufgeführten Fälle, in denen nur ein Eintrag zurückgegeben wird, muss ZwQueryDirectoryFile also mindestens zweimal aufgerufen werden, um den Inhalt eines gesamten Verzeichnisses aufzulisten.

Beim Aufrufen von ZwQueryDirectoryFile werden möglicherweise Änderungen am Verzeichnis angezeigt, die parallel zu ZwQueryDirectoryFile-Aufrufen ausgeführt werden. Dieses Verhalten ist von der Implementierung des zugrunde liegenden Dateisystems abhängig.

Der letzte Aufruf von ZwQueryDirectoryFile gibt einen leeren Ausgabepuffer zurück und meldet einen entsprechenden status Wert wie STATUS_NO_MORE_FILES.

Wenn ZwQueryDirectoryFile im selben Verzeichnis mehrmals aufgerufen wird und ein anderer Vorgang den Inhalt dieses Verzeichnisses ändert, können änderungen angezeigt werden, abhängig vom Zeitpunkt der Vorgänge.

ZwQueryDirectoryFile gibt null in jedem Element einer FILE_XXX_INFORMATION-Struktur zurück, die vom Dateisystem nicht unterstützt wird.

Aufrufer von ZwQueryDirectoryFile müssen unter IRQL = PASSIVE_LEVEL und mit aktivierten speziellen Kernel-APCs ausgeführt werden.

Informationen zu anderen Dateiinformationsabfrageroutinen finden Sie unter Dateiobjekte.

Hinweis

Wenn der Aufruf der ZwQueryDirectoryFile-Funktion im Benutzermodus erfolgt, sollten Sie den Namen "NtQueryDirectoryFile" anstelle von "ZwQueryDirectoryFile" verwenden.

Bei Aufrufen von Kernelmodustreibern können sich die NtXxx - und ZwXxx-Versionen einer Windows Native System Services-Routine anders verhalten, da sie Eingabeparameter verarbeiten und interpretieren. Weitere Informationen zur Beziehung zwischen den Nt Xxx- und ZwXxx-Versionen einer Routine finden Sie unter Verwenden von Nt- und Zw-Versionen der Systemdienstroutinen.

Anforderungen

Anforderung	Wert
Unterstützte Mindestversion (Client)	Windows XP.
Zielplattform	Universell
Header	ntifs.h (include Ntifs.h)
Bibliothek	NtosKrnl.lib
DLL	NtosKrnl.exe
IRQL	PASSIVE_LEVEL (siehe Abschnitt Hinweise)
DDI-Complianceregeln	HwStorPortProhibitedDDIs(storport), PowerIrpDDis(wdm)