ZwQueryDirectoryFileEx-Funktion (ntifs.h)
Die ZwQueryDirectoryFileEx-Routine gibt verschiedene Informationen zu Dateien in dem Verzeichnis zurück, das durch ein bestimmtes Dateihandle angegeben wird.
Syntax
NTSYSAPI NTSTATUS ZwQueryDirectoryFileEx(
[in] HANDLE FileHandle,
[in, optional] HANDLE Event,
[in, optional] PIO_APC_ROUTINE ApcRoutine,
[in, optional] PVOID ApcContext,
[out] PIO_STATUS_BLOCK IoStatusBlock,
[out] PVOID FileInformation,
[in] ULONG Length,
[in] FILE_INFORMATION_CLASS FileInformationClass,
[in] ULONG QueryFlags,
[in, optional] PUNICODE_STRING FileName
);
Parameter
[in] FileHandle
Ein von ZwCreateFile oder ZwOpenFile zurückgegebenes Handle für das Dateiobjekt, das das Verzeichnis darstellt, für das Informationen angefordert werden. Das Dateiobjekt muss für asynchrone E/A geöffnet worden sein, wenn der Aufrufer einen Nicht-NULL-Wert für Event oder ApcRoutine angibt.
[in, optional] Event
Ein optionales Handle für ein vom Anrufer erstelltes Ereignis. Wenn dieser Parameter angegeben wird, wird der Aufrufer in einen Wartezustand versetzt, bis der angeforderte Vorgang abgeschlossen ist und das angegebene Ereignis auf den Signalzustand festgelegt ist. Dieser Parameter ist optional und kann NULL sein. Er muss NULL sein, wenn der Aufrufer wartet, bis fileHandle auf den Signalzustand festgelegt wird.
[in, optional] ApcRoutine
Eine Adresse einer optionalen, vom Anrufer bereitgestellten APC-Routine, die aufgerufen werden soll, wenn der angeforderte Vorgang abgeschlossen ist. Dieser Parameter ist optional und kann NULL sein. Wenn dem Dateiobjekt ein E/A-Vervollständigungsobjekt zugeordnet ist, muss dieser Parameter NULL sein.
[in, optional] ApcContext
Ein optionaler Zeiger auf einen vom Aufrufer bestimmten Kontextbereich, wenn der Aufrufer einen APC bereitstellt oder wenn dem Dateiobjekt ein E/A-Vervollständigungsobjekt zugeordnet ist. Wenn der Vorgang abgeschlossen ist, wird dieser Kontext an den APC übergeben, sofern einer angegeben wurde, oder als Teil der Vervollständigungsmeldung, die der E/A-Manager an das zugehörige E/A-Vervollständigungsobjekt sendet.
Dieser Parameter ist optional und kann NULL sein. Es muss NULL sein, wenn ApcRoutine NULL ist und dem Dateiobjekt kein E/A-Vervollständigungsobjekt zugeordnet ist.
[out] IoStatusBlock
Ein Zeiger auf eine IO_STATUS_BLOCK-Struktur, die die endgültige Vervollständigung status und Informationen zum Vorgang empfängt. Bei erfolgreichen Aufrufen, die Daten zurückgeben, wird die Anzahl der Bytes, die in den FileInformation-Puffer geschrieben wurden, im Element Information der Struktur zurückgegeben.
[out] FileInformation
Ein Zeiger auf einen Ausgabepuffer, der die gewünschten Informationen zur Datei empfängt. Die Struktur der im Puffer zurückgegebenen Informationen wird durch den Parameter FileInformationClass definiert.
[in] Length
Die Größe des Puffers in Bytes, auf den fileInformation verweist. Der Aufrufer sollte diesen Parameter entsprechend der angegebenen FileInformationClass festlegen.
[in] FileInformationClass
Der Typ der Informationen, die zu Dateien im Verzeichnis zurückgegeben werden sollen. Die Liste der möglichen Werte finden Sie im Parameter FileInformationClass von NtQueryDirectoryFileEx .
[in] QueryFlags
Mindestens eines der Flags, die in SL_QUERY_DIRECTORY_MASK enthalten sind. Die Liste der möglichen Werte finden Sie im QueryFlags-Parameter von NtQueryDirectoryFileEx .
[in, optional] FileName
Ein optionaler Zeiger auf eine vom Aufrufer zugewiesene Unicode-Zeichenfolge, die den Namen einer Datei (oder mehrerer Dateien, wenn Wildcards verwendet werden) innerhalb des von FileHandle angegebenen Verzeichnisses enthält. Dieser Parameter ist optional:
- Wenn FileName nicht NULL ist, werden nur Dateien, deren Namen mit der FileName-Zeichenfolge übereinstimmen, in die Verzeichnisüberprüfung einbezogen.
- Wenn FileName NULL ist:
- Wenn SL_RETURN_SINGLE_ENTRY in QueryFlags nicht festgelegt ist, sind alle Dateien enthalten.
- Wenn SL_RETURN_SINGLE_ENTRY festgelegt ist, ist nur eine Datei enthalten.
FileName wird als Suchausdruck verwendet und beim ersten Aufruf von ZwQueryDirectoryFileEx für ein bestimmtes Handle erfasst. Nachfolgende Aufrufe von ZwQueryDirectoryFileEx verwenden den Suchausdruck, der im ersten Aufruf festgelegt wurde. Der FileName-Parameter , der an nachfolgende Aufrufe übergeben wird, wird ignoriert.
Rückgabewert
ZwQueryDirectoryFileEx gibt STATUS_SUCCESS oder einen entsprechenden Fehler status zurück. Der Satz von Fehlern status Werten, die zurückgegeben werden können, ist dateisystemspezifisch. ZwQueryDirectoryFileEx gibt auch die Anzahl der Bytes zurück, die tatsächlich in den angegebenen FileInformation-Puffer im Informationselement von IoStatusBlock geschrieben wurden. Eine Liste mit einigen möglichen Fehlercodes finden Sie unter NtQueryDirectoryFileEx .
Hinweise
ZwQueryDirectoryFileEx gibt Informationen zu Dateien zurück, die in dem von FileHandle dargestellten Verzeichnis enthalten sind.
Falls angegeben, bestimmt FileName die Einträge, die in der Verzeichnisüberprüfung für alle nachfolgenden Aufrufe von ZwQueryDirectoryFileEx für eine bestimmte FileHandle enthalten sind.
Wenn mindestens ein übereinstimmenden Eintrag vorhanden ist, erstellt ZwQueryDirectoryFileEx eine FILE_XXX_INFORMATION-Struktur für jeden Eintrag und speichert sie im Puffer.
Unter der Annahme, dass mindestens ein übereinstimmender Verzeichniseintrag gefunden wird, ist die Anzahl der Einträge, für die Informationen zurückgegeben werden, die kleinste der folgenden:
- Ein Eintrag, wenn SL_RETURN_SINGLE_ENTRY in QueryFlags festgelegt ist und FileName NULL ist.
- Die Anzahl der Einträge, die mit der FileName-Zeichenfolge übereinstimmen, wenn FileName nicht NULL ist. Wenn die Zeichenfolge keine Feldhalter enthält, kann es höchstens einen übereinstimmenden Eintrag geben.
- Die Anzahl der Einträge, deren Informationen in den angegebenen Puffer passen.
- Die Anzahl der im Verzeichnis enthaltenen Einträge.
Wenn beim ersten Aufruf von ZwQueryDirectoryFileEx die Struktur, die für den ersten gefundenen Eintrag erstellt wird, zu groß ist, um in den Ausgabepuffer zu passen, führt diese Routine Folgendes aus:
- Schreibt den festen Teil der Struktur in den Ausgabepuffer von FileInformation. Der feste Teil besteht aus allen Feldern mit Ausnahme der endgültigen FileName-Zeichenfolge . Beim ersten Aufruf, aber nicht bei nachfolgenden Aufrufen, stellt das E/A-System sicher, dass der Puffer groß genug ist, um den festen Teil der entsprechenden FILE_XXX_INFORMATION-Struktur aufzunehmen.
- Schreibt in den Ausgabepuffer so viel von der FileName-Zeichenfolge , wie es passt.
- Gibt einen entsprechenden status Wert wie STATUS_BUFFER_OVERFLOW zurück.
Bei jedem Aufruf gibt ZwQueryDirectoryFileEx so viele FILE_XXX_INFORMATION-Strukturen (eine pro Verzeichniseintrag) zurück, wie sie vollständig im Puffer enthalten sein können, auf den fileInformation verweist:
- Beim ersten Aufruf gibt ZwQueryDirectoryFileEx nur dann STATUS_SUCCESS zurück, wenn der Ausgabepuffer mindestens eine vollständige Struktur enthält.
- Wenn der Ausgabepuffer bei nachfolgenden Aufrufen keine Strukturen enthält, gibt ZwQueryDirectoryFileEx STATUS_SUCCESS zurück, legt jedoch IoStatusBlock-Information> = 0 fest, um den Aufrufer über diese Bedingung zu benachrichtigen. In diesem Fall sollte der Aufrufer einen größeren Puffer zuordnen und ZwQueryDirectoryFileEx erneut aufrufen. Es werden keine Informationen über verbleibende Einträge gemeldet. Mit Ausnahme der oben aufgeführten Fälle, in denen nur ein Eintrag zurückgegeben wird, muss ZwQueryDirectoryFileEx also mindestens zweimal aufgerufen werden, um den Inhalt eines gesamten Verzeichnisses aufzulisten.
Beim Aufrufen von ZwQueryDirectoryFileEx werden möglicherweise Änderungen am Verzeichnis angezeigt, die parallel zu ZwQueryDirectoryFileEx-Aufrufen erfolgen. Dieses Verhalten ist von der Implementierung des zugrunde liegenden Dateisystems abhängig.
Der letzte Aufruf von ZwQueryDirectoryFileEx gibt einen leeren Ausgabepuffer zurück und meldet einen entsprechenden status Wert wie STATUS_NO_MORE_FILES.
Wenn ZwQueryDirectoryFileEx mehrmals im selben Verzeichnis aufgerufen wird und ein anderer Vorgang den Inhalt dieses Verzeichnisses ändert, können änderungen je nach Zeitpunkt der Vorgänge angezeigt werden oder nicht.
ZwQueryDirectoryFileEx gibt null in jedem Element einer FILE_XXX_INFORMATION-Struktur zurück, die vom Dateisystem nicht unterstützt wird.
Aufrufer von ZwQueryDirectoryFileEx müssen unter IRQL = PASSIVE_LEVEL und mit aktivierten speziellen Kernel-APCs ausgeführt werden.
Informationen zu anderen Dateiinformationsabfrageroutinen finden Sie unter Dateiobjekte.
Hinweis
Wenn der Aufruf der ZwQueryDirectoryFileEx-Funktion im Benutzermodus erfolgt, sollten Sie den Namen "NtQueryDirectoryFileEx" anstelle von "ZwQueryDirectoryFileEx" verwenden.
Bei Aufrufen von Kernelmodustreibern können sich die NtXxx - und ZwXxx-Versionen einer Windows Native System Services-Routine anders verhalten, da sie Eingabeparameter verarbeiten und interpretieren. Weitere Informationen zur Beziehung zwischen den Nt Xxx- und ZwXxx-Versionen einer Routine finden Sie unter Verwenden von Nt- und Zw-Versionen der Systemdienstroutinen.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows 10, Version 1709 |
| Kopfzeile | ntifs.h |
| IRQL | PASSIVE_LEVEL (siehe Abschnitt Hinweise) |
Weitere Informationen
FILE_REPARSE_POINT_INFORMATION
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für