使用Windows API读取MFT信息，并获取所有文件相关属性信息

在Windows API中，特别是通过NTFS内核模式驱动程序（如ZwQueryDirectoryFile、 ZwCreateFile 和 ZwQueryInfoFile 等），可以直接访问Master File Table (MFT) 的信息。以下是一个简化的步骤说明：

1. **创建文件句柄**:
使用`CreateFileW`函数创建文件句柄，指定MFT文件的路径，加上FILE_FLAG_OPEN_NO_RECALL标志，以便能读取隐藏的MFT条目。

NTSTATUS status;
HANDLE hFile = CreateFileW(L"MFT", GENERIC_READ | FILE_SHARE_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_OPEN_NO_RECALL, NULL);
if (!NT_SUCCESS(status))
{
    // 处理错误
}

2. **查询MFT信息**:
使用`ZwQueryDirectoryFile`或`ZwQueryInfoFile`等函数，传入句柄，请求获取文件的基本信息，如文件名、大小、创建时间等。这会返回`FILE_OBJECT`结构，其中包含部分MFT属性。

FILE_OBJECT* fileObject;
NTSTATUS queryStatus = ZwQueryDirectoryFile(hFile, NULL, NULL, NULL, &fileObject, sizeof(FILE_OBJECT), NULL, IoGetFileSizeInformation);

3. **遍历MFT记录**:
根据`FILE_OBJECT`中的MFT记录偏移量，使用`ZwReadVirtualMemory`从MFT读取详细信息，如安全描述符、文件扩展属性等。

PAGED_LOOKASIDE_LIST *lookasideList;
PFILE_BASIC_INFORMATION fileInfoBuffer;
queryStatus = ZwReadVirtualMemory(hFile, fileObject->RelatedFileObject, &fileInfoBuffer, sizeof(fileInfoBuffer), &bytesRead, NULL);
// 解析并提取所需属性

4. **释放资源**:
当完成操作后，记得关闭文件句柄和清理内存。

请注意，实际操作中你需要处理异常情况和错误代码，并且可能需要熟悉Win32 Kernel模式编程的知识。此外，由于MFT操作属于底层磁盘操作，可能会导致性能下降和稳定性问题，一般仅在必要时使用。