摘要：工程需要，用上了一个sfilter的过滤驱动。最后发现在添加搜索目录监控post过滤函数时，使用IE作为样本跑起来的时候，会卡住。windbg 后，发现挂在。kd> !process -1 7PROCESS 81c96860 SessionId: 0 Cid: 03f8 Peb: 7ffdc000 ParentCid: 068c DirBase: 07dc0300 ObjectTable: e1a24088 HandleCount: 497. Image: IEXPLORE.EXE VadRoot 8210e420 Vads 364 Clone 0 Priva... 阅读全文

摘要：在创建一个空的新文件的时候，写数据时，FSD会在cache中判断写的数据offset +len =len1是不是比原来的size大，如果是，则会把这个offset +len更新下去这时候，后面来一个no cache的写的时候，由于这时的写必须是加密后的，offset+len=len2肯定会比上面的len1大。FSD在no cache写的时候，发现len2比len1大，那FSD只会把len1的长度写下去，而len2-len1这个大小就会被漏掉PS:正在做的加密算法是明文4K对应密文8K所以要在cache write的时候也要更新这个大小。但这时候又有一个问题，是在cache write 前更新还 阅读全文

该文被密码保护。