我正在研究NtDll如何在x86进程中工作，并且我使用IDAPRO调试了函数NtCreateFile。它的代码如下:moveax,55h;NtCreateFilemovedx,offset_Wow64SystemServiceCall@0;calledx;Wow64SystemServiceCall();retn2ChWow64SystemServiceCall():movedx,largefs:30hmovedx,[edx+464h]testedx,2jzshortloc_7738B5C8int2Eh;DOS2+internal-EXECUTECOMMAND;DS:SI->count

我编写了一个程序来查询更改日志记录并列出它们。更改日志返回:1)filereferencenumber(fileindex.high和fileindex.low的组合)2)parentfilereferencenumber(同上，只是用于目录)3)szReason(在变更记录中出现的原因)4)文件名和文件长度。我想找到更改日志中列出的此文件的路径。我见过的大多数实现都跟踪所有文件引用号并查询它以进行比较，或者它们使用FindNextFile()函数遍历整个卷。我遇到了一个讨论，他们说，他们可以只使用文件引用号打开文件句柄。http://www.tech-archive.net/Arch