我目前正在开发一个小的合规性应用程序,它应该能够扫描具有许多文件(数百万)的 NTFS 卷以获取安全信息。
目前我知道文件或目录的每个 FileSystemAccessRule 都列在 MFT ADS 中,用于 NTFS 卷的 $Secure,具有唯一的 ID。如果 2 个或更多文件具有相同的访问规则,则通过主 MFT 条目中的 id 链接。因此,它是一种重复数据删除以节省空间。
我已经在使用 NTFSReader 作为一个库来获取以字节为单位的文件列表和完整路径,这在使用 MFT 时速度非常快。我搜索了也公开安全信息的库,以便我可以进一步处理它们。但没有运气。我还尝试使用 PInvoke 为自己阅读 $Secure 的 MFT ADS,但无济于事。
是否有任何库或代码片段可以让我学习如何做到这一点?
提前致谢 :)