2. 技术人生
    3. 用未公开函数实现Shell操作监视

    用未公开函数实现Shell操作监视

    技术2022-05-11  67
    在Windows下有一个未公开函数SHChangeNotifyRegister可以吧你的窗口添加到系统的系统消息监视链中,该函数在Delphi中的定义如下

    Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll' index 2;

    其中参数hWnd定义了监视系统操作的窗口得句柄,参数uFlags dwEventID定义监视操作参数,参数uMsg定义操作消息,参数cItems定义附加参数,参数lpps指定一个PIDLSTRUCT结构,该结构指定监视的目录。

        当函数调用成功之后,函数会返回一个监视操作句柄,同时系统就会将hWnd指定的窗口加入到操作监视链中,当有文件操作发生时,系统会向hWnd发送uMsg指定的消息,我们只要在程序中加入该消息的处理函数就可以实现对系统操作的监视了。如果要退出程序监视,就要调用另外一个未公开得函数SHChangeNotifyDeregister来取消程序监视。

        下面是使用Delphi编写的具体程序实现范例,首先建立一个新的工程文件,然后在Form1中加入一个Button控件和一个Memo控件程序的代码如下:

    unit Unit1;

    interface

    uses  Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,  StdCtrls,shlobj,Activex;

    const  SHCNE_RENAMEITEM = $1;  SHCNE_CREATE = $2;  SHCNE_DELETE = $4;  SHCNE_MKDIR = $8;  SHCNE_RMDIR = $10;  SHCNE_MEDIAINSERTED = $20;  SHCNE_MEDIAREMOVED = $40;  SHCNE_DRIVEREMOVED = $80;  SHCNE_DRIVEADD = $100;  SHCNE_NETSHARE = $200;  SHCNE_NETUNSHARE = $400;  SHCNE_ATTRIBUTES = $800;  SHCNE_UPDATEDIR = $1000;  SHCNE_UPDATEITEM = $2000;  SHCNE_SERVERDISCONNECT = $4000;  SHCNE_UPDATEIMAGE = $8000;  SHCNE_DRIVEADDGUI = $10000;  SHCNE_RENAMEFOLDER = $20000;  SHCNE_FREESPACE = $40000;  SHCNE_ASSOCCHANGED = $8000000;  SHCNE_DISKEVENTS = $2381F;  SHCNE_GLOBALEVENTS = $C0581E0;  SHCNE_ALLEVENTS = $7FFFFFFF;  SHCNE_INTERRUPT = $80000000;

      SHCNF_IDLIST = 0;               //  LPITEMIDLIST  SHCNF_PATHA = $1;               // path name  SHCNF_PRINTERA = $2;            // printer friendly name  SHCNF_DWORD = $3;               // DWORD  SHCNF_PATHW = $5;               // path name  SHCNF_PRINTERW = $6;            // printer friendly name  SHCNF_TYPE = $FF;

      SHCNF_FLUSH = $1000;

      SHCNF_FLUSHNOWAIT = $2000;  SHCNF_PATH = SHCNF_PATHW;  SHCNF_PRINTER = SHCNF_PRINTERW;

      WM_SHNOTIFY = $401;  NOERROR = 0;

    type  TForm1 = class(TForm)    Button1: TButton;    Memo1: TMemo;    procedure FormClose(Sender: TObject; var Action: TCloseAction);    procedure Button1Click(Sender: TObject);    procedure FormCreate(Sender: TObject);  private    { Private declarations }    procedure WMShellReg(var Message:TMessage);message WM_SHNOTIFY;  public    { Public declarations }  end;

    type PSHNOTIFYSTRUCT=^SHNOTIFYSTRUCT;  SHNOTIFYSTRUCT = record    dwItem1 : PItemIDList;    dwItem2 : PItemIDList;  end;

    Type PSHFileInfoByte=^SHFileInfoByte;  _SHFileInfoByte = record    hIcon :Integer;    iIcon :Integer;    dwAttributes : Integer;    szDisplayName : array [0..259] of char;    szTypeName : array [0..79] of char;  end;  SHFileInfoByte=_SHFileInfoByte;

    Type PIDLSTRUCT = ^IDLSTRUCT;  _IDLSTRUCT = record    pidl : PItemIDList;    bWatchSubFolders : Integer;  end;  IDLSTRUCT =_IDLSTRUCT;

    function SHNotify_Register(hWnd : Integer) : Bool;function SHNotify_UnRegister:Bool;function SHEventName(strPath1,strPath2:string;lParam:Integer):string;

    Function SHChangeNotifyDeregister(hNotify:integer):integer;stdcall;         external 'Shell32.dll' index 4;Function SHChangeNotifyRegister(hWnd,uFlags,dwEventID,uMSG,cItems:LongWord;         lpps:PIDLSTRUCT):integer;stdcall;external 'Shell32.dll' index 2;Function SHGetFileInfoPidl(pidl : PItemIDList;         dwFileAttributes : Integer;         psfib : PSHFILEINFOBYTE;         cbFileInfo : Integer;         uFlags : Integer):Integer;stdcall;         external 'Shell32.dll' name 'SHGetFileInfoA';

    var  Form1: TForm1;  m_hSHNotify:Integer;  m_pidlDesktop : PItemIDList;

    implementation

    {$R *.DFM}

    function SHEventName(strPath1,strPath2:string;lParam:Integer):string;var  sEvent:String;begin  case lParam of        //根据参数设置提示消息    SHCNE_RENAMEITEM: sEvent := '重命名文件'+strPath1+'为'+strpath2;    SHCNE_CREATE: sEvent := '建立文件 文件名:'+strPath1;    SHCNE_DELETE: sEvent := '删除文件 文件名:'+strPath1;    SHCNE_MKDIR: sEvent := '新建目录 目录名:'+strPath1;    SHCNE_RMDIR: sEvent := '删除目录 目录名:'+strPath1;    SHCNE_MEDIAINSERTED: sEvent := strPath1+'中插入可移动存储介质';    SHCNE_MEDIAREMOVED: sEvent := strPath1+'中移去可移动存储介质'+strPath1+' '+strpath2;    SHCNE_DRIVEREMOVED: sEvent := '移去驱动器'+strPath1;    SHCNE_DRIVEADD: sEvent := '添加驱动器'+strPath1;    SHCNE_NETSHARE: sEvent := '改变目录'+strPath1+'的共享属性';

        SHCNE_ATTRIBUTES: sEvent := '改变文件目录属性 文件名'+strPath1;    SHCNE_UPDATEDIR: sEvent := '更新目录'+strPath1;    SHCNE_UPDATEITEM: sEvent := '更新文件 文件名:'+strPath1;    SHCNE_SERVERDISCONNECT: sEvent := '断开与服务器的连接'+strPath1+' '+strpath2;    SHCNE_UPDATEIMAGE: sEvent := 'SHCNE_UPDATEIMAGE';    SHCNE_DRIVEADDGUI: sEvent := 'SHCNE_DRIVEADDGUI';    SHCNE_RENAMEFOLDER: sEvent := '重命名文件夹'+strPath1+'为'+strpath2;    SHCNE_FREESPACE: sEvent := '磁盘空间大小改变';    SHCNE_ASSOCCHANGED: sEvent := '改变文件关联';  else    sEvent:='未知操作'+IntToStr(lParam);  end;  Result:=sEvent;end;

    function SHNotify_Register(hWnd : Integer) : Bool;var  ps:PIDLSTRUCT;begin  {$R-}  Result:=False;  If m_hSHNotify = 0 then begin    //获取桌面文件夹的Pidl    if SHGetSpecialFolderLocation(0, CSIDL_DESKTOP,        m_pidlDesktop)<> NOERROR then        Form1.close;    if Boolean(m_pidlDesktop) then begin      ps.bWatchSubFolders := 1;      ps.pidl := m_pidlDesktop;

          // 利用SHChangeNotifyRegister函数注册系统消息处理      m_hSHNotify := SHChangeNotifyRegister(hWnd, (SHCNF_TYPE Or SHCNF_IDLIST),                                          (SHCNE_ALLEVENTS Or SHCNE_INTERRUPT),                                          WM_SHNOTIFY, 1, ps);      Result := Boolean(m_hSHNotify);    end    Else      // 如果出现错误就使用 CoTaskMemFree函数来释放句柄      CoTaskMemFree(m_pidlDesktop);  End;  {$R+}end;

    function SHNotify_UnRegister:Bool;begin  Result:=False;  If Boolean(m_hSHNotify) Then    //取消系统消息监视,同时释放桌面的Pidl    If Boolean(SHChangeNotifyDeregister(m_hSHNotify)) Then begin      {$R-}      m_hSHNotify := 0;      CoTaskMemFree(m_pidlDesktop);      Result := True;      {$R-}    End;end;

    procedure TForm1.WMShellReg(var Message:TMessage);      //系统消息处理函数var  strPath1,strPath2:String;  charPath:array[0..259]of char;  pidlItem:PSHNOTIFYSTRUCT;begin  pidlItem:=PSHNOTIFYSTRUCT(Message.wParam);  //获得系统消息相关得路径  SHGetPathFromIDList(pidlItem.dwItem1,charPath);  strPath1:=charPath;  SHGetPathFromIDList(pidlItem.dwItem2,charPath);  strPath2:=charPath;

      Memo1.Lines.Add(SHEvEntName(strPath1,strPath2,Message.lParam)+chr(13)+chr(10));end;

    procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);begin  //在程序退出的同时删除监视  if Boolean(m_pidlDesktop) then    SHNotify_Unregister;end;

    procedure TForm1.Button1Click(Sender: TObject); //Button1的Click消息begin  m_hSHNotify:=0;  if SHNotify_Register(Form1.Handle) then begin //注册Shell监视    ShowMessage('Shell监视程序成功注册');    Button1.Enabled := False;  end  else    ShowMessage('Shell监视程序注册失败');end;

    procedure TForm1.FormCreate(Sender: TObject);begin  Button1.Caption := '打开监视';end;

    end.

        运行程序,点击“打开监视”按钮,如果出现一个显示“Shell监视程序成功注册”的对话框,说明Form1已经加入到系统操作监视链中了,你可以试着在资源管理器中建立、删除文件夹,移动文件等操作,你可以发现这些操作都被纪录下来并显示在文本框中。

        在上面的程序中多次使用到了一个PItemIDList的结构,这个数据结构指定Windows下得一个“项目”,在Windows下资源实现统一管理一个“项目”可以是一个文件或者一个文件夹,也可以是一个打印机等资源。另外一些API函数也涉及到了Shell(Windows外壳)操作,各位读者可以参考相应的参考资料。 

    专利

    最新回复(0)