求教：删除了sfilter.sys，为什么用Dbgview仍能检测到Sfilter??

各位大大，我刚开始学习写文件系统驱动，获得了tooflat大大写的透明加解密增加RC4算法_源码，编译之后，使用DribverMonitor来动态加载时，无法加解密文件，这是则么回事情啊？？
然后我利用DDK中sfilter例子中的inf文件进行安装，重起之后仍不能加解密文件，我去windows下的system32下的drivers中删除sfilter.sys之后，用Dbgview观察，可以看见sfilter的creat,write操作，重起后也仍能看家，但还是不能加解密文件。这是什么问题啊？？那为大大能为我解释一下哦。在这先感谢一下了。

是对特定盘过滤了吧，看下代码吧，非测试用的盘不处理？？
DDK中的sfilter没做加解密

tooflat大大写的透明加解密增加RC4算法是对于一个特定的盘加解密，他由xefs.dat这个文件控制，在别的帖子上说把这个文件放c:\windows下，可是我测试了还是不成功阿。
DDK中的sfilter的确没做加解密，我安装的是tooflat大大写的透明加解密增加RC4算法的sfilter。
还有那位大大能解释一下我为什么删除了sfilter.sys，用Dbgview仍能检测到Sfilter的creat,write操作？？不明白啊。。。。

可能是系统自动还原又将驱动还原了？？
重启后检查system32\drivers目录里有没有 sfilter.sys 有干掉，搜索系统盘 sfilter.sys可能会有新发现，有的话也干掉试试吧

我检查过检查system32\drivers目录，也搜索过系统盘，都没有sfilter.sys 了，很莫名阿，不理解，不知道和注册表有关系不？？