请教sfilter与filemon的框架区别

  大家好，小弟刚学文件系统驱动，看了一下sfilter与filemon的源代码，filemon能大概看懂他的流程框架，但是sfilter就实在太复杂了，不过觉得两者好像实现细路是不太一样的，希望各位能大体讲一下sfilter的框架流程，和与filemon的不同。谢谢了

很久没有看过filemon，只是就我以前的记忆说一下。

大体来说，filemon用的是动态加载，就是自己枚举各个fs volume，然后attach上去。sfilter使用的是静态加载，是在每个fs的volume加载的时候，得到通知，然后自己attach上去。

sfilter也有一个动态加载的功能，是通过IoRegisterFsRegistrationChange实现的。但它在XP上用到一个函数IoGetDiskDeviceObject，最近发现和ZoneAlarm（用的是Kaspersky的KLIF.SYS）有冲突，只要安装了ZoneAlarm，这个函数有时候就会失败（0xC000000DL）。

filemon的框架还是有很多的局限性，尤其是和XX杀毒软件之间的问题，真是头疼！

关键是xx杀软都是用filemon改的.hehe

zn:你怎么知道“xx杀软都是用filemon改的”的？呵呵
饭可以乱吃，话不能乱说哦，哈哈

我倒,我亲身经历的,还看过代码,这还有假?


我说的是xx只是指一种,其它的没看过.现在的新版的也没见过...

不过他们fix了几个filemon的bug

再说了,用filemon也没啥丢人的,当年,没有ifskit时,好多不都是filmon吗?他们现在的win98支持,还是老的filemon驱动呢

杀软主要是病毒库..

sfilter驱动应该如何加载呢？我用filemon里的LoadDeviceDriver, 可以加载，用DeviceTree也可以
看到，DriverEntry中的调试信息也可以显示，我使用的规则文件里设置了e:\test*,
但在用notepad保存e:\test1.txt时，并没有加密，sfwrite中的信息没有显示，这会是什么错误？
后来我用ifs kit中的sfilter.inf进行安装，注册表中的service已经注册了，但驱动究竟如何加载呢？

可能是更新服务器的问题吧，几天没上了，所以现在才看到
感谢大家的回复，现在已经明白了不少，继续学习中。。谢谢！

请问哪里的新版式的filemon源码，我只有4.3的