在sfilter中读被ms EFS加密的文件 有时是密文有时是明文 请问大侠如何确能读到明文

  我在sfilter用的 IRP_MJ_CREATE用ZwReadFile读文件

在status = IoCallDriver( ((PSFILTER_DEVICE_EXTENSION) DeviceObject->DeviceExtension)->AttachedToDeviceObject, Irp );之前得到的是密文


在这之后有两种情况  

1.我用自己发IRP_MJ_CLEANUP irp 禁用文件是可以得到明文

2.使用IoCancelFileOpen(DevExt->AttachedToDeviceObject ,FileObject);禁用文件每次得到的都是密文


我自己的分析是否 MS EFS在sfilter之上
"IRP_MJ_CLEANUP irp 禁用文件"可能缓存没清理 在第二次IRP_MJ_CREATE得到缓存中的明文
而IoCancelFileOpen则清理了缓存

在这里想问问老牛们怎么在sfilter中得到MS EFS的明文

自己顶一下 希望大牛们指教指教