自从换了*全局监控以后，就发现这样一个问题（已解决）

accordion

\Device\KSENUM#00000002*\Device\root#system#0000#*
\Device\STORAGE#Volume#*
会出现像上面那三个带“#”的文件，这些文件是什么文件？（不允许应用程序修改还会出现运行不正常
的问题）允许了有什么危害吗？

zlj_lf

消灭0回复

穿越星空

　　请问楼主，是什么进程提示要访问这些内容？这些不是普通意义的文件。
　　\Device\KSENUM#00000002由swenum.sys创建，指系统声音设备，也有可能是渲染器，总之和多媒体有关。swenum.sys用来枚举即插即用软件设备。
　　\Device\root#system#0000#之类的由ACPI.sys创建，和上述设备相关。
　　\Device\STORAGE#Volume#之类的指向的是卷，可以理解为分区。
　　以上为个人猜测。

accordion

回复 3楼 穿越星空  的帖子


    翻了老帖。。。发现这贴有回复了

几乎所有进程都要来访问这些内容，现在确定进程都要访问以下几个设备接口。

\Global??\FltMgrMsg
\Device\KsecDD
\Device\STORAGE#Volume#*
\Device\root#system#0000#*
\Device\KSENUM#00000002*
\Device\NetBT_Tcpip_*
\Device\FDC#*

后来才发现，这些文件貌似都是由SYS创立的。。。腾讯那个TesSafe安全系统，在system32目录下创立的
C:\windows\system32\TesDrvPt.sys
C:\windows\system32\TesSafe.sys

凡是腾讯游戏要用到这个安全系统的。。。都要访问
\Device\TesDrvPt
\Device\TesSafe



本人是菜鸟。。。请问这些以\Device开头的文件都是和sys所创立的连接通道吗？

lemon002

大家都好专业。。我完全看不明白。。。

穿越星空

回复 4楼 accordion  的帖子
　　其实有些东西可以从名称上就可以判断。
　　FltMgrMsg感觉像是文件系统过滤驱动。
　　KsecDD是内核安全设备驱动，如负责用户登录以及EFS等。
　　STORAGE#Volume#、root#system#0000#和KSENUM#00000002已在3楼中提出。
　　NetBT_Tcpip_{*}用以支持NetBIOS。
　　FDC#我没有找到。
　　楼主可参考帖子《菜贴 \Device\KsecDD是什么》，包括回复。

accordion

回复 6楼 穿越星空  的帖子


    那就是说这不是真正意义上的文件，只是系统在运行的过程中往内存里添加的监控模块？

穿越星空

回复 7楼 accordion  的帖子
　　嗯，不是我们从资源管理器中可见的文件，你参考我6楼给出的链接进行设置吧。

accordion

回复 8楼 穿越星空  的帖子


    看来WIN的奇怪东西还不少。。。谢谢回复