Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
1. Jun 2008
Gelöst!
Der Fehler
---------------------------
Filetime
---------------------------
Unzulässiger Zugriff auf einen Speicherbereich.
---------------------------
OK
---------------------------
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
30. Mai 2008
Stimmt.
function GetNTTime(fn: String; var FileInformation: FILE_BASIC_INFORMATION): Boolean;
var
dosfn : ANSI_STRING;
szNtDeviceName : array of Char;
ObjName : UNICODE_STRING;
ObjectAttributes : OBJECT_ATTRIBUTES;
Buffer : array of WideChar;
Status : NTSTATUS;
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
30. Mai 2008
Wenn ich die maximale Länge nicht setze, steht dort der Wert 17394.
Nachdem ich jetzt meine Function um
var
...
doserr : DWORD;
Error : PChar;
begin
...
doserr := RtlNtStatusToDosError(Status);
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
30. Mai 2008
function GetNTTime(fn: String; var FileInformation: FILE_BASIC_INFORMATION): Boolean;
var
dosfn : String;
szNtDeviceName : array of Char;
Status : NTSTATUS;
ObjName : UNICODE_STRING;
ObjectAttributes : OBJECT_ATTRIBUTES;
Buffer : array of WideChar;
begin
Result := False;
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
28. Mai 2008
Nun bin ich soweit:
function NtQueryAttributesFile(ObjectAttributes: POBJECT_ATTRIBUTES;
FileInformation: PFILE_BASIC_INFORMATION): NTSTATUS;
stdcall; external ntdll name 'NtQueryAttributesFile';
function NT_SUCCESS(Status: NTSTATUS): WordBool;
begin
Result := Status >= 0;
end;
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
26. Mai 2008
typedef struct _FILE_BASIC_INFORMATION {
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
ULONG FileAttributes;
} FILE_BASIC_INFORMATION, *PFILE_BASIC_INFORMATION;
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
26. Mai 2008
Hab gerade das gefunden, aber noch nicht weiter angesehen.
Forum: Win32/Win64 API (native code)
Delphi
by Garfield,
25. Mai 2008
Die Zeitstempel für Erstellung, letzte Änderung und letzten Zugriff kennt wohl jeder. Wie man diese ermittelt, ist mir auch klar. Unter NTFS gibt es noch einen vierten Zeitstempel - "Entry modified" bzw "MFT last modified" -, welcher die letzte Änderung des MFT Eintrags angibt.
Weiß jemand, wie man diesen ermitteln kann?
http://www.forensicswiki.org/index.php?title=NTFS...