-
-
[求助]windows日志文件格式的一点疑惑
-
发表于: 2012-2-22 09:32
-
typedef struct _EVENTLOGRECORD {
DWORD Length;
DWORD Reserved;
DWORD RecordNumber;
DWORD TimeGenerated;
DWORD TimeWritten;
DWORD EventID;
WORD EventType;
WORD NumStrings;
WORD EventCategory;
WORD ReservedFlags;
DWORD ClosingRecordNumber;
DWORD StringOffset;
DWORD UserSidLength;
DWORD UserSidOffset;
DWORD DataLength;
DWORD DataOffset;
//
// Then follow:
//
// TCHAR SourceName[]
// TCHAR Computername[]
// SID UserSid
// TCHAR Strings[]
// BYTE Data[]
// CHAR Pad[]
// DWORD Length;
//
} EVENTLOGRECORD;
这是MSDN上定义的日志事件声明格式,DWORD Length为本结构体的长度,
DWORD DataOffset是从本结构体头算起的偏移位置,看了一个实际的windows日志文件格式,大多数都没什么问题,只是昨天偶然发现一条,DataOffset大于了Length,这一下子不是出了结构体了?搞不懂,请高手指点一下,不尽感激
DWORD Length;
DWORD Reserved;
DWORD RecordNumber;
DWORD TimeGenerated;
DWORD TimeWritten;
DWORD EventID;
WORD EventType;
WORD NumStrings;
WORD EventCategory;
WORD ReservedFlags;
DWORD ClosingRecordNumber;
DWORD StringOffset;
DWORD UserSidLength;
DWORD UserSidOffset;
DWORD DataLength;
DWORD DataOffset;
//
// Then follow:
//
// TCHAR SourceName[]
// TCHAR Computername[]
// SID UserSid
// TCHAR Strings[]
// BYTE Data[]
// CHAR Pad[]
// DWORD Length;
//
} EVENTLOGRECORD;
这是MSDN上定义的日志事件声明格式,DWORD Length为本结构体的长度,
DWORD DataOffset是从本结构体头算起的偏移位置,看了一个实际的windows日志文件格式,大多数都没什么问题,只是昨天偶然发现一条,DataOffset大于了Length,这一下子不是出了结构体了?搞不懂,请高手指点一下,不尽感激
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
