请教IFS Kit里的sfilter及filespy如何使用的问题

向大侠请教：
我是新手，问几个可笑的问题，我希望好心的大侠给点真实的帮助，我会祝福您的！

1 请教sfilter.exe的生成：
我将sfilter.c与sfilter.rc加到vc++6.0的工程中，也加了ntifs.h的包含路径，在vc 环境下进行编译，有一个错误：
d:\\winddk\\3790\\inc\\ifs\\wnet\\ntifs.h(23) : fatal error C1189: #error : Compiler version not supported by Windows DDK。请问应该如何进行，才能得到sfolter.exe？

2 在ifskit的checked编译下得到sfilter.sys，可以用sfilter.inf安装；而在sfilter里的sfilterInstall.cmd又是干什么的？是将sfolter.exe安装到注册表里吗？

3 过去看了一点设备驱动资料，那里好象没有.exe；文件系统里
sfilter.sys与sfilter.exe应如何使用？各起什么作用？

4 sfilterUninstall.cmd能将sfilter.inf安装的东西从注册表和system32\\drivers里卸出吗？

5 在filespy里的文档说明usrGuide.htm：
Filter Driver Install Program
FileSpy now comes with an INF that will install the filter driver and the user mode control program. To install, do the following:
 Make sure确定 that filespy.exe, filespy.sys and filespy.inf are all in the same相同的 directory.目录
 Right-click on the filespy.inf through Explorer.
 Select the Install option.
This will make the necessary registry updates to register the FileSpy service, place放置 filespy.sys in the %SystemRoot%\\system32\\drivers directory, place filespy.exe in %SystemRoot%\\filespy directory and add the following registry entries条目:[这里的%SystemRoot%\\filespy ：对于2000 操作系统是winnt\\filespy？这是自动加的还是手动加的？]
[HKEY_LOCAL_MACHINE]\\System\\CurrentControlSet\\Services\\FileSpy
MaxRecords DWORD The maximum number of log records to have outstanding at any one time. Default=500.
MaxNames DWORD The maximum number of name buffers to have outstanding at any one time. Default=500.
AttachMode DWORD Specify how you want FileSpy to attach to volumes.
1. Attach on demand.
2. Attach to ALL volumes when the filter loads. This does not mean that volumes are being logged, that happens when a user explicitly requests it. This is used to control attachment order with other filters.
Default=2
Filter Driver Uninstall
To uninstall the kernel-mode driver for FileSpy, you need to run “sc delete filespy”. This will remove the service from the system. After running this program, you will need to reboot the machine to complete the removal of FileSpy.

6 我看了网友1月份的“filespy目录下filter下提供的VC编译环境修改” ，提供了几个.dsp；是否把这些.dsp加到filespy里，用vc编译就能够产生filespy.exe；然后再用我这里的问题5刚刚找到的安装说明去做安装；filespy究竟如何使用？需要把filespy.exe在注册表的software里的run下添加：让它开机后就永远运行吗？
请谅解！问题提的太多！
谢谢！

sfilter编译后生成一个*.sys文件。
用INF安装后可以运行，需要重新启动。

谢谢大侠关照：
    我用ifs kit下的checked编译成功，也用sfilter.inf安装了，也检查了注册表。那么，重新开机后，如何来观察sfilter对文件操作进行了监视？不需要sfilter.exe吗？
    另外，filespy.exe是需要加几个.dsp后，在vc编译环境编译吗？您还能对我的其他几个问题给点提示吗！
谢谢！

不需要，编译以后会生成一个sfilter.sys。
他被安装程序COPY到 /SYSTEM32/DRIVERS/下面，由系统自动加载。

如果想看效果，只能看DEBUG打印的信息。

引用：如果想看效果，只能看DEBUG打印的信息。

请您具体、详细说说重新开机后，怎样做，做什么操作，可使sfilter监视文件的创建、打开、读、写、运行之效果！

您是否说：用2台机器，使用windbg？不是这样的吧？如那样的话，应如何去做呢？

请原谅，我是新手，笨手！请具体指点一下！
谢谢！

你也不用着急，我也还没有脱离菜鸟的行列。做驱动就要坚持。

首先，原版的SFILTER只是一个架子，没有做什么操作。有可能只是在系统进入某个文件、写文件、读文件的时候通过DbgPrint打印某些信息，代表他可以监视。

你安装以后，重新启动。 运行一个叫DebugView.exe的程序（可以下载到），这个程序会将DbgPrint的信息接受到，并且显示出来。

谢谢您！
    我刚从网上下来一个debugview.exe4.21版；还没看他的英文说明呢！是您说的这个吧！怎么用，能说说吗？
我的给您加分了！
谢谢！


怎么没有给份栏了？！就兴一次给完吗？不好意思呀！

[编辑 -  4/22/05 by  lgh41]

debugview有一个选项是可以load on boot，这样就可以看到boot以后输出的信息了，

学习了ing

受益不少，谢谢！