WORD中无法截获部分数据

大家好,现在遇到一个很棘手的问题,相信有朋友也遇到过.我采用FileSpy模型,当用word2003进行写文件时,无法截获到一部分数据.这部分数据是以文件偏移到0x3c的地方,按照Open Office的文档来看,这个地方指的是小文件起始扇区号.我跟踪了所有的IPR_WRITE以及FAST_IO_WRITE,没有发现有对该偏移位置的写操作.
所以现在我很迷惑,到底这部分数据是从哪儿来的?此外,我试了OFFICE2007下能截获到的.所以我大胆的做了以下猜测,但不知道是否正确.
1)WORD2003内部使用越级IRP,导致FILTER无法监控?
2)WORD2003采用直接读取磁盘的方法写入文件?这种可能性很小,因为我们试了一下其他文件系统.
3)???
希望各位,给一点提示.
此外,我分析了WORD的写流程,虽然它是通过RENAME来实现的,但是我相信,即使是RENAME,它的数据也不可能凭空产生,因为我监控了所有的写IRP,包括其他的卷.

你的filter是否在适当的地点release掉了过滤条件。（类如fscontext)
那部分内容可能先写到cache中，然后延迟写。这时你条件没了。

1)WORD2003内部使用越级IRP,导致FILTER无法监控?
。。。。。word是app层，理论上不会直接操作irp.不符合软件设计思路。
2)WORD2003采用直接读取磁盘的方法写入文件?这种可能性很小,因为我们试了一下其他文件系统.
。。。。。理论上也不可能，没这个必要，它不需要关心底层。

你的问题：有可能是对临时文件的处理不正确造成的。

感谢楼楼上的回复,我通过加载FASTFAT终于找到原因,原来WORD采用文件映射,而文件映射是由系统自己写入磁盘的,所以会截获不了.

请教楼主，在minifilter里通过截获IRP，怎样处理这种文件映射的问题呢？

我在打开，关闭时都清了缓存，为什么记事本的解密还是不行啊

文件映射在短时间内不会产生I/O操作,你说的缓存是指的FASTIO.文件映射会通过系统进程来写,可能要等你程序结束了以后再写.另外,记事本没有用文件映射.

请教楼主个问题，如何判断某个程序使用了文件映射.谢谢

引用第5楼jylhy于2008-04-01 19:29发表的  :
请教楼主个问题，如何判断某个程序使用了文件映射.谢谢

我只是做了初步的实验是:
(!CcIsFileCached() && PagedIO && NoCachedIo)