一种利用Windows未公开函数实现机器上所做的各种操作
发布时间:2011-11-03 00:23:33 作者:佚名 
我要评论
我要评论你是否想为你的Windows加上一双眼睛,察看使用者在机器上所做的各种操作(例如建立、删除文件;改变文件或目录名字)呢
这里介绍一种利用Windows未公开函数实现这个功能的方法。
在Windows下有一个未公开函数SHChangeNotifyRegister可以把你的窗口添加到系统的系统消息监视链中,该函数在Delphi中的定义如下:
Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;
lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll ' index 2;
其中参数hWnd定义了监视系统操作的窗口得句柄,参数uFlags dwEventID定义监视操作参数,参数uMsg定义操作消息,参数cItems定义附加参数,参数lpps指定一个PIDLSTRUCT结构,该结构指定监视的目录。
当函数调用成功之后,函数会返回一个监视操作句柄,同时系统就会将hWnd指定的窗口加入到操作监视链中,当有文件操作发生时,系统会向hWnd发送uMsg指定的消息,我们只要在程序中加入该消息的处理函数就可以实现对系统操作的监视了。
如果要退出程序监视,就要调用另外一个未公开得函数SHChangeNotifyDeregister来取消程序监视。
下面是使用Delphi编写的具体程序实现范例,首先建立一个新的工程文件,然后在Form1中加入一个Button控件和一个Memo控件,
程序的代码如下:
程序代码
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls,shlobj,Activex;
const
SHCNE_RENAMEITEM = $1;
SHCNE_Create = $2;
SHCNE_Delete = $4;
SHCNE_MKDIR = $8;
SHCNE_RMDIR = $10;
SHCNE_MEDIAInsertED = $20;
SHCNE_MEDIAREMOVED = $40;
SHCNE_DRIVEREMOVED = $80;
SHCNE_DRIVEADD = $100;
SHCNE_NETSHARE = $200;
SHCNE_NETUNSHARE = $400;
SHCNE_ATTRIBUTES = $800;
SHCNE_UpdateDIR = $1000;
SHCNE_UpdateITEM = $2000;
SHCNE_SERVERDISCONNECT = $4000;
SHCNE_UpdateIMAGE = $8000;
SHCNE_DRIVEADDGUI = $10000;
SHCNE_RENAMEFOLDER = $20000;
SHCNE_FREESPACE = $40000;
SHCNE_ASSOCCHANGED = $8000000;
SHCNE_DISKEVENTS = $2381F;
SHCNE_GLOBALEVENTS = $C0581E0;
SHCNE_ALLEVENTS = $7FFFFFFF;
SHCNE_INTERRUPT = $80000000;
SHCNF_IDLIST = 0;
// LPITEMIDLIST
SHCNF_PATHA = $1;
// path name
SHCNF_PRINTERA = $2;
// printer friendly name
SHCNF_DWORD = $3;
// DWORD
SHCNF_PATHW = $5;
// path name
SHCNF_PRINTERW = $6;
// printer friendly name
SHCNF_TYPE = $FF;
SHCNF_FLUSH = $1000;
SHCNF_FLUSHNOWAIT = $2000;
SHCNF_PATH = SHCNF_PATHW;
SHCNF_PRINTER = SHCNF_PRINTERW;
WM_SHNOTIFY = $401;
NOERROR = 0;
type
TForm1 = class(TForm)
Button1: TButton;
Memo1: TMemo;
procedure FormClose(Sender: TObject; var Action: TCloseAction);
procedure Button1Click(Sender: TObject);
procedure FormCreate(Sender: TObject);
private
{ Private declarations }
procedure WMShellReg(var Message:TMessage);message WM_SHNOTIFY;
public
{ Public declarations }
end;
type PSHNOTIFYSTRUCT=^SHNOTIFYSTRUCT;
SHNOTIFYSTRUCT = record
dwItem1 : PItemIDList;
dwItem2 : PItemIDList;
end;
Type PSHFileInfoByte=^SHFileInfoByte;
_SHFileInfoByte = record
hIcon :Integer;
iIcon :Integer;
dwAttributes : Integer;
szDisplayName : array [0..259] of char;
szTypeName : array [0..79] of char;
end;
SHFileInfoByte=_SHFileInfoByte;
Type PIDLSTRUCT = ^IDLSTRUCT;
_IDLSTRUCT = record
pidl : PItemIDList;
bWatchSubFolders : Integer;
end;
IDLSTRUCT =_IDLSTRUCT;
function SHNotify_Register(hWnd : Integer) : Bool;
function SHNotify_UnRegister:Bool;
function SHEventName(strPath1,strPath2:string;lParam:Integer):string;
Function SHChangeNotifyDeregister(hNotify:integer):integer;stdcall;
external 'Shell32.dll ' index 4;
Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;
lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll ' index 2;
Function SHGetFileInfoPidl(pidl : PItemIDList;
dwFileAttributes : Integer;
psfib : PSHFILEINFOBYTE;
cbFileInfo : Integer;
uFlags : Integer):Integer;stdcall;
external 'Shell32.dll ' name 'SHGetFileInfoA ';
var
Form1: TForm1;
m_hSHNotify:Integer;
m_pidlDesktop : PItemIDList;
implementation
{$R *.DFM}
function SHEventName(strPath1,strPath2:string;lParam:Integer):string;
var
sEvent:String;
begin
case lParam of //根据参数设置提示消息
SHCNE_RENAMEITEM: sEvent := '重命名文件 '+strPath1+ '为 '+strpath2;
SHCNE_Create: sEvent := '建立文件 文件名: '+strPath1;
SHCNE_Delete: sEvent := '删除文件 文件名: '+strPath1;
SHCNE_MKDIR: sEvent := '新建目录 目录名: '+strPath1;
SHCNE_RMDIR: sEvent := '删除目录 目录名: '+strPath1;
SHCNE_MEDIAInsertED: sEvent := strPath1+ '中插入可移动存储介质 ';
SHCNE_MEDIAREMOVED: sEvent := strPath1+ '中移去可移动存储介质 '+strPath1+ ' '+strpath2;
SHCNE_DRIVEREMOVED: sEvent := '移去驱动器 '+strPath1;
SHCNE_DRIVEADD: sEvent := '添加驱动器 '+strPath1;
SHCNE_NETSHARE: sEvent := '改变目录 '+strPath1+ '的共享属性 ';
SHCNE_ATTRIBUTES: sEvent := '改变文件目录属性 文件名 '+strPath1;
SHCNE_UpdateDIR: sEvent := '更新目录 '+strPath1;
SHCNE_UpdateITEM: sEvent := '更新文件 文件名: '+strPath1;
SHCNE_SERVERDISCONNECT: sEvent := '断开与服务器的连接 '+strPath1+ ' '+strpath2;
SHCNE_UpdateIMAGE: sEvent := 'SHCNE_UpdateIMAGE ';
SHCNE_DRIVEADDGUI: sEvent := 'SHCNE_DRIVEADDGUI ';
SHCNE_RENAMEFOLDER: sEvent := '重命名文件夹 '+strPath1+ '为 '+strpath2;
SHCNE_FREESPACE: sEvent := '磁盘空间大小改变 ';
SHCNE_ASSOCCHANGED: sEvent := '改变文件关联 ';
else
sEvent:= '未知操作 '+IntToStr(lParam);
end;
Result:=sEvent;
end;
function SHNotify_Register(hWnd : Integer) : Bool;
var
ps:PIDLSTRUCT;
begin
{$R-}
Result:=False;
If m_hSHNotify = 0 then begin
//获取桌面文件夹的Pidl
if SHGetSpecialFolderLocation(0, CSIDL_DESKTOP,
m_pidlDesktop) <> NOERROR then
Form1.close;
if Boolean(m_pidlDesktop) then begin
ps.bWatchSubFolders := 1;
ps.pidl := m_pidlDesktop;
// 利用SHChangeNotifyRegister函数注册系统消息处理
m_hSHNotify := SHChangeNotifyRegister(hWnd, (SHCNF_TYPE or SHCNF_IDLIST),
(SHCNE_ALLEVENTS or SHCNE_INTERRUPT),
WM_SHNOTIFY, 1, ps);
Result := Boolean(m_hSHNotify);
end
Else
// 如果出现错误就使用 CoTaskMemFree函数来释放句柄
CoTaskMemFree(m_pidlDesktop);
End;
{$R+}
end;
function SHNotify_UnRegister:Bool;
begin
Result:=False;
If Boolean(m_hSHNotify) Then
//取消系统消息监视,同时释放桌面的Pidl
If Boolean(SHChangeNotifyDeregister(m_hSHNotify)) Then begin
{$R-}
m_hSHNotify := 0;
CoTaskMemFree(m_pidlDesktop);
Result := True;
{$R-}
End;
end;
procedure TForm1.WMShellReg(var Message:TMessage); //系统消息处理函数
var
strPath1,strPath2:String;
charPath:array[0..259]of char;
pidlItem:PSHNOTIFYSTRUCT;
begin
pidlItem:=PSHNOTIFYSTRUCT(Message.wParam);
//获得系统消息相关得路径
SHGetPathFromIDList(pidlItem.dwItem1,charPath);
strPath1:=charPath;
SHGetPathFromIDList(pidlItem.dwItem2,charPath);
strPath2:=charPath;
Memo1.Lines.Add(SHEvEntName(strPath1,strPath2,Message.lParam)+chr(13)+chr(10));
end;
procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);
begin
//在程序退出的同时删除监视
if Boolean(m_pidlDesktop) then
SHNotify_Unregister;
end;
procedure TForm1.Button1Click(Sender: TObject); //Button1的Click消息
begin
m_hSHNotify:=0;
if SHNotify_Register(Form1.Handle) then begin //注册Shell监视
ShowMessage( 'Shell监视程序成功注册 ');
Button1.Enabled := False;
end
else
ShowMessage( 'Shell监视程序注册失败 ');
end;
procedure TForm1.FormCreate(Sender: TObject);
begin
Button1.Caption := '打开监视 ';
在Windows下有一个未公开函数SHChangeNotifyRegister可以把你的窗口添加到系统的系统消息监视链中,该函数在Delphi中的定义如下:
Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;
lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll ' index 2;
其中参数hWnd定义了监视系统操作的窗口得句柄,参数uFlags dwEventID定义监视操作参数,参数uMsg定义操作消息,参数cItems定义附加参数,参数lpps指定一个PIDLSTRUCT结构,该结构指定监视的目录。
当函数调用成功之后,函数会返回一个监视操作句柄,同时系统就会将hWnd指定的窗口加入到操作监视链中,当有文件操作发生时,系统会向hWnd发送uMsg指定的消息,我们只要在程序中加入该消息的处理函数就可以实现对系统操作的监视了。
如果要退出程序监视,就要调用另外一个未公开得函数SHChangeNotifyDeregister来取消程序监视。
下面是使用Delphi编写的具体程序实现范例,首先建立一个新的工程文件,然后在Form1中加入一个Button控件和一个Memo控件,
程序的代码如下:
程序代码
复制代码
代码如下:unit Unit1;
interface
uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls,shlobj,Activex;
const
SHCNE_RENAMEITEM = $1;
SHCNE_Create = $2;
SHCNE_Delete = $4;
SHCNE_MKDIR = $8;
SHCNE_RMDIR = $10;
SHCNE_MEDIAInsertED = $20;
SHCNE_MEDIAREMOVED = $40;
SHCNE_DRIVEREMOVED = $80;
SHCNE_DRIVEADD = $100;
SHCNE_NETSHARE = $200;
SHCNE_NETUNSHARE = $400;
SHCNE_ATTRIBUTES = $800;
SHCNE_UpdateDIR = $1000;
SHCNE_UpdateITEM = $2000;
SHCNE_SERVERDISCONNECT = $4000;
SHCNE_UpdateIMAGE = $8000;
SHCNE_DRIVEADDGUI = $10000;
SHCNE_RENAMEFOLDER = $20000;
SHCNE_FREESPACE = $40000;
SHCNE_ASSOCCHANGED = $8000000;
SHCNE_DISKEVENTS = $2381F;
SHCNE_GLOBALEVENTS = $C0581E0;
SHCNE_ALLEVENTS = $7FFFFFFF;
SHCNE_INTERRUPT = $80000000;
SHCNF_IDLIST = 0;
// LPITEMIDLIST
SHCNF_PATHA = $1;
// path name
SHCNF_PRINTERA = $2;
// printer friendly name
SHCNF_DWORD = $3;
// DWORD
SHCNF_PATHW = $5;
// path name
SHCNF_PRINTERW = $6;
// printer friendly name
SHCNF_TYPE = $FF;
SHCNF_FLUSH = $1000;
SHCNF_FLUSHNOWAIT = $2000;
SHCNF_PATH = SHCNF_PATHW;
SHCNF_PRINTER = SHCNF_PRINTERW;
WM_SHNOTIFY = $401;
NOERROR = 0;
type
TForm1 = class(TForm)
Button1: TButton;
Memo1: TMemo;
procedure FormClose(Sender: TObject; var Action: TCloseAction);
procedure Button1Click(Sender: TObject);
procedure FormCreate(Sender: TObject);
private
{ Private declarations }
procedure WMShellReg(var Message:TMessage);message WM_SHNOTIFY;
public
{ Public declarations }
end;
type PSHNOTIFYSTRUCT=^SHNOTIFYSTRUCT;
SHNOTIFYSTRUCT = record
dwItem1 : PItemIDList;
dwItem2 : PItemIDList;
end;
Type PSHFileInfoByte=^SHFileInfoByte;
_SHFileInfoByte = record
hIcon :Integer;
iIcon :Integer;
dwAttributes : Integer;
szDisplayName : array [0..259] of char;
szTypeName : array [0..79] of char;
end;
SHFileInfoByte=_SHFileInfoByte;
Type PIDLSTRUCT = ^IDLSTRUCT;
_IDLSTRUCT = record
pidl : PItemIDList;
bWatchSubFolders : Integer;
end;
IDLSTRUCT =_IDLSTRUCT;
function SHNotify_Register(hWnd : Integer) : Bool;
function SHNotify_UnRegister:Bool;
function SHEventName(strPath1,strPath2:string;lParam:Integer):string;
Function SHChangeNotifyDeregister(hNotify:integer):integer;stdcall;
external 'Shell32.dll ' index 4;
Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;
lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll ' index 2;
Function SHGetFileInfoPidl(pidl : PItemIDList;
dwFileAttributes : Integer;
psfib : PSHFILEINFOBYTE;
cbFileInfo : Integer;
uFlags : Integer):Integer;stdcall;
external 'Shell32.dll ' name 'SHGetFileInfoA ';
var
Form1: TForm1;
m_hSHNotify:Integer;
m_pidlDesktop : PItemIDList;
implementation
{$R *.DFM}
function SHEventName(strPath1,strPath2:string;lParam:Integer):string;
var
sEvent:String;
begin
case lParam of //根据参数设置提示消息
SHCNE_RENAMEITEM: sEvent := '重命名文件 '+strPath1+ '为 '+strpath2;
SHCNE_Create: sEvent := '建立文件 文件名: '+strPath1;
SHCNE_Delete: sEvent := '删除文件 文件名: '+strPath1;
SHCNE_MKDIR: sEvent := '新建目录 目录名: '+strPath1;
SHCNE_RMDIR: sEvent := '删除目录 目录名: '+strPath1;
SHCNE_MEDIAInsertED: sEvent := strPath1+ '中插入可移动存储介质 ';
SHCNE_MEDIAREMOVED: sEvent := strPath1+ '中移去可移动存储介质 '+strPath1+ ' '+strpath2;
SHCNE_DRIVEREMOVED: sEvent := '移去驱动器 '+strPath1;
SHCNE_DRIVEADD: sEvent := '添加驱动器 '+strPath1;
SHCNE_NETSHARE: sEvent := '改变目录 '+strPath1+ '的共享属性 ';
SHCNE_ATTRIBUTES: sEvent := '改变文件目录属性 文件名 '+strPath1;
SHCNE_UpdateDIR: sEvent := '更新目录 '+strPath1;
SHCNE_UpdateITEM: sEvent := '更新文件 文件名: '+strPath1;
SHCNE_SERVERDISCONNECT: sEvent := '断开与服务器的连接 '+strPath1+ ' '+strpath2;
SHCNE_UpdateIMAGE: sEvent := 'SHCNE_UpdateIMAGE ';
SHCNE_DRIVEADDGUI: sEvent := 'SHCNE_DRIVEADDGUI ';
SHCNE_RENAMEFOLDER: sEvent := '重命名文件夹 '+strPath1+ '为 '+strpath2;
SHCNE_FREESPACE: sEvent := '磁盘空间大小改变 ';
SHCNE_ASSOCCHANGED: sEvent := '改变文件关联 ';
else
sEvent:= '未知操作 '+IntToStr(lParam);
end;
Result:=sEvent;
end;
function SHNotify_Register(hWnd : Integer) : Bool;
var
ps:PIDLSTRUCT;
begin
{$R-}
Result:=False;
If m_hSHNotify = 0 then begin
//获取桌面文件夹的Pidl
if SHGetSpecialFolderLocation(0, CSIDL_DESKTOP,
m_pidlDesktop) <> NOERROR then
Form1.close;
if Boolean(m_pidlDesktop) then begin
ps.bWatchSubFolders := 1;
ps.pidl := m_pidlDesktop;
// 利用SHChangeNotifyRegister函数注册系统消息处理
m_hSHNotify := SHChangeNotifyRegister(hWnd, (SHCNF_TYPE or SHCNF_IDLIST),
(SHCNE_ALLEVENTS or SHCNE_INTERRUPT),
WM_SHNOTIFY, 1, ps);
Result := Boolean(m_hSHNotify);
end
Else
// 如果出现错误就使用 CoTaskMemFree函数来释放句柄
CoTaskMemFree(m_pidlDesktop);
End;
{$R+}
end;
function SHNotify_UnRegister:Bool;
begin
Result:=False;
If Boolean(m_hSHNotify) Then
//取消系统消息监视,同时释放桌面的Pidl
If Boolean(SHChangeNotifyDeregister(m_hSHNotify)) Then begin
{$R-}
m_hSHNotify := 0;
CoTaskMemFree(m_pidlDesktop);
Result := True;
{$R-}
End;
end;
procedure TForm1.WMShellReg(var Message:TMessage); //系统消息处理函数
var
strPath1,strPath2:String;
charPath:array[0..259]of char;
pidlItem:PSHNOTIFYSTRUCT;
begin
pidlItem:=PSHNOTIFYSTRUCT(Message.wParam);
//获得系统消息相关得路径
SHGetPathFromIDList(pidlItem.dwItem1,charPath);
strPath1:=charPath;
SHGetPathFromIDList(pidlItem.dwItem2,charPath);
strPath2:=charPath;
Memo1.Lines.Add(SHEvEntName(strPath1,strPath2,Message.lParam)+chr(13)+chr(10));
end;
procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);
begin
//在程序退出的同时删除监视
if Boolean(m_pidlDesktop) then
SHNotify_Unregister;
end;
procedure TForm1.Button1Click(Sender: TObject); //Button1的Click消息
begin
m_hSHNotify:=0;
if SHNotify_Register(Form1.Handle) then begin //注册Shell监视
ShowMessage( 'Shell监视程序成功注册 ');
Button1.Enabled := False;
end
else
ShowMessage( 'Shell监视程序注册失败 ');
end;
procedure TForm1.FormCreate(Sender: TObject);
begin
Button1.Caption := '打开监视 ';
相关文章
WebStorm如何调试Vue项目? webstorm配置vue开发环境指南
WebStorm 支持多种调试工具,包括浏览器的开发者工具,但本文主要讲解的是使用 WebStorm 自带的调试功能2025-04-15
VSCode和webstorm怎么设置绿色护眼背景? 绿豆沙背景色的设置方法
护眼色一定程度能保护眼睛,缓解疲劳,VSCode和webstorm这两款常用的软件怎么设置护眼色呢?详细请看下文介绍2025-04-15- WebStorm本身已经足够强大,但一些优秀的插件能锦上添花,显著提升开发效率,详细请看下文介绍2025-04-15
如何安装配置WebStorm? WebStorm安装与使用全方位指南
WebStorm软件在前端和后端开发领域都备受青睐,很多朋友不知道该怎么下载安装,下面我们就来看看详细的安装配置教程2025-04-15Webstorm怎么配置? Webstorm入门之软件配置教程
WebStorm是一款功能强大的集成开发环境(IDE),支持各种前端开发技术,今天我们就来看看Webstorm的配置教程2025-04-15- WebStorm 允许您自定义界面颜色,以创建更个性化和美观的工作空间,今天我们就来看看Webstorm改变字体大小、背景颜色、设置背景图片的方法2025-04-15
VScode上安装PlatformIO插件能成功安装,尝试卸载VScode并删除插件,这些错误仍然存在,下面我们就来看看这个问题的解决办法2025-04-03
提升代码搜索效率! VSCode里DeepSeek插件安装与配置指南
今天我们将向大家介绍如何在Visual Studio Code中安装并配置 DeepSeek 插件,帮助你更高效地进行代码搜索2025-04-07- VSCode是一款免费且开源的代码编辑器,因其强大的功能和良好的用户体验而广受欢迎,本文将详细介绍 VSCode 的基本使用方法,并通过插图帮助你更好地理解2025-04-03
- 今天我们来聊聊如何安装和配置VS Code,让它成为你编程路上的得力助手,这个过程其实很简单,只要跟着我的步骤走,你绝对能搞定2025-04-03
最新评论