关于 win32 下磁盘的遍历方法

 最近要写个在线专杀的东东，虽然是专杀（本来只要清除几个特定的文件和杀几个特定的进程，然后把用户的注册表恢复正常，很多病毒木马最喜欢干的一件事情就是写 映像劫持 然后机器一重启，安全相关的软件全部玩完了，不过这也没什么技术含量，利用了操作系统的“漏洞”而已），但是因为是 磁碟机，这个病毒（木马）很恶心，是感染型的，你磁盘上的exe文件可以全部给你感染成一个个的“小磁碟机”，很恐怖，呵呵，所以没办法，要清除它，必须在杀掉磁碟机的进程之后，对全盘进行扫描，对每一个被感染的exe文件（好像com文件不能感染）进行修复，怎么进行磁盘遍历呢？请看下面的代码：（其实杀毒引擎工作的过程就是一个遍历磁盘上文件的过程，然后再对每个文件进行处理）

// -------------------------------------------------------------------------
// 函数       : ScanDirectory
// 功能       : 遍历一个目录，然后做一些事情(想做什么做什么呗)
// 返回值  : DWORD
// 参数       : const WCHAR *pwszPath
// 附注       : 可以为磁盘根目录
// -------------------------------------------------------------------------
DWORD ScanDirectory(const WCHAR *pwszPath)
{
    USES_CONVERSION;

    static int nCountFile = 0;
    DWORD dwRet = 1;

    WCHAR *s = NULL;

    HANDLE hFind = NULL;
    WIN32_FIND_DATAW fd = {0};

    WCHAR wszFileName[MAX_PATH] = L"";
    lstrcpyW(wszFileName, pwszPath);

    s = wszFileName + wcslen(wszFileName);
    if (*(s-1) != L'//')
        *s++ = L'//';
    // wcscpy_s(s, 4, L"*.*");
    ::lstrcpyW(s, L"*.*");

    hFind = FindFirstFileW(wszFileName, &fd);
    if (hFind==INVALID_HANDLE_VALUE)
        goto Exit0;
    do
    {
        // 过滤
        if (_wcsicmp(L".", fd.cFileName) == 0 || _wcsicmp(L"..", fd.cFileName) == 0)
            continue;

        ::lstrcpyW(s, fd.cFileName);
        *(s + lstrlenW(fd.cFileName)) = L'/0';

        // 如果是文件夹则递归
        if (fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
        {
            // 删除.svn目录，我做一个小工作，删文件，o(∩_∩)o...
            WCHAR wszSvnCmd[MAX_PATH] = {0};
            ::lstrcpyW(wszSvnCmd, L"rmdir /s/q ");
            ::lstrcatW(wszSvnCmd, wszFileName);
            ::lstrcatW(wszSvnCmd, L"//.svn");
            system(W2A(wszSvnCmd));
            ScanDirectory(wszFileName);
        }
        else
        {
            // 对文件进行扫描
            // 这里你可以放入你对文件的处理代码
        }

    }while(::FindNextFileW(hFind, &fd));

    dwRet = 0;


Exit0:
    if( hFind != INVALID_HANDLE_VALUE )
    {
        ::FindClose( hFind );
        hFind = NULL;
    }

    return dwRet;
}

  当然上面的代码还只能遍历一个磁盘，除非你知道自己的机器上有几个磁盘，然后调用几次就可以了，但是你不知道用户的机器上有几个什么磁盘咯，所以还须有下面的代码和上面配合：

// -------------------------------------------------------------------------
// 函数       : ParseDiskName
// 功能       : 解析机器上能扫描的磁盘的名
// 返回值  : DWORD 返回能扫描的磁盘数量
// 参数       : TCHAR *pszDiskName  缓冲区 放入可扫描的磁盘的英文盘符名
// 附注       :
// -------------------------------------------------------------------------
DWORD ParseDiskName(TCHAR *pszDiskName)
{
    static TCHAR *pszWordTable = {"abcdefghijklmnopqrstuvwxyz"};

    DWORD dwDisk;
    DWORD dwBase = 0x1;
    DWORD dwCount = 0;          // 记录磁盘数量
    DWORD dwScanCount = 0;      // 要扫描的有效磁盘数量，用于返回
    DWORD dwStyle;

    TCHAR szDiskPath[4] = {0};                  // 缓存一个磁盘根目录名
    TCHAR szDiskArray[26] = {0};                // 记录要扫描的所有磁盘名

    dwDisk = GetLogicalDrives();

    while (dwDisk && dwCount <= ::lstrlen(pszWordTable))
    {
        memset(szDiskPath, 0, sizeof(szDiskPath));

        if (dwDisk & dwBase)
        {
            ::lstrcpyn(szDiskPath, pszWordTable + dwCount, 2);
            ::lstrcat(szDiskPath, TEXT("://"));
            dwStyle = GetDriveType(szDiskPath);

            // 是否可扫描的
            if (DRIVE_REMOVABLE == dwStyle || DRIVE_FIXED == dwStyle)
            {
                szDiskArray[dwScanCount] = pszWordTable[dwCount];
                dwScanCount++;
            }
        }

        dwDisk = dwDisk & ~dwBase;
        dwBase = dwBase * 2;
        dwCount++;
    }

    ::lstrcpy(pszDiskName, szDiskArray);
    return dwScanCount;
}

  呵呵，差不多了，不过上面的遍历文件用递归实现的，有可能出现堆栈溢出的情况，用迭代实现遍历磁盘也是可以的，不过我一直没有去写一个，还是觉得太麻烦了，递归多方便啊。再show点代码，对计算机进行重启的，不过这个重启是类似于掉电重启的，大家别随便试啊，一调你的机器得不到任何通知就重启了，为什么要这么用呢？是因为有些病毒再收到系统重启通知的时候会干些坏事情，用这种方法才能彻底清除它。

// -------------------------------------------------------------------------
// 函数       : ForceShutDown
// 功能       : 强制重启
// 返回值  : HRESULT
// 附注       :
// -------------------------------------------------------------------------
HRESULT ForceShutDown()
{
    // 强制重启参数 函数指针声明
    typedef enum _SHUTDOWN_ACTION
    {
        ShutdownNoReboot,
        ShutdownReboot,
        ShutdownPowerOff
    } SHUTDOWN_ACTION;
    typedef DWORD (WINAPI* lpNtShutdownSystem)(SHUTDOWN_ACTION Action);

    LONG nRet = FALSE;

    HANDLE hToken;
    TOKEN_PRIVILEGES tkp;
    HANDLE hProcess = NULL;

    HMODULE hNTDLL = NULL;

    hProcess = ::GetCurrentProcess();
    if(hProcess == NULL)
        goto Exit0;

    if(!::OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
        goto Exit0;

    if(!::LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &tkp.Privileges[0].Luid))
        goto Exit0;

    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    ::AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0);


    hNTDLL = LoadLibrary(_T("NTDLL.DLL"));
    if (hNTDLL)
    {
        lpNtShutdownSystem NtShutdownSystem = (lpNtShutdownSystem)GetProcAddress(hNTDLL, "NtShutdownSystem");
        if (NtShutdownSystem)
        {
            NtShutdownSystem(ShutdownReboot);
        }

        ::FreeLibrary(hNTDLL);

        nRet = TRUE;
    }

Exit0:
    if(hToken)
    {
        ::CloseHandle(hToken);
        hToken = NULL;
    }

    if(hProcess)
    {
        ::CloseHandle(hProcess);
        hProcess = NULL;
    }
    return nRet;
}

  以后再说说那个堆栈溢出的情况吧。

 

http://blog.csdn.net/magictong/article/details/2784420