What's wkNtFsLdf.dat?

今天同事在调试一个文件驱动蓝屏问题时，发现是在调用NtQueryObject时导致蓝屏，将NtQueryObject操作的文件名称打印出来一看是C:\Drive Information\wkNtFsLdf.dat。在其他机器上检查没有发现这个文件和目录，于是放狗搜之。

搜索结果如下：

安裝過FinalData、RecoverLostData等軟體後,磁片上回出現\Drive Information\wkNtFsLdf.dat檔，一般有幾百兆，刪除時會提示無法刪除，即使刪除這些軟體後也是如此。
該檔是此類資料恢復軟體中的檔刪除管理使用的日誌檔，無法刪除時，一般會在任務管理器中發現一個WdelMgr20.exe,而且在“電腦管理---服務”中會發現一個“WdelMgr20”服務，這就是“檔刪除管理”服務。關閉該服務後即可刪除這些檔。
關閉該服務後，可通過運行“Ntfsldf20.exe -u”來完全刪除。

原来是FinalData数据恢复软件生成的文件，先进入安全模式将WdelMgr20服务停止，重启电脑后一切运行正常。看来就是这个软件“从中作梗”啊，开始还以为是和Kaspersky冲突导致的蓝屏呢，看来又错怪了好人。

但为什么使用NtQueryObject查询这个文件信息时会出错呢？现在还没有找到具体原因，猜想该文件是数据恢复软件用保存分区上数据信息的文件，他本身对这个文件做了保护，其他程序对其进行操作时禁止访问。再跟踪看看具体原因吧。

结论：

1、没有确凿的证据不要轻易下结论，有时候经验并不总是正确的，否则会造成冤案，而真正的罪犯还会到其他地方去发飙。

2、终端上开发系统软件真的很麻烦，兼容性问题是这类软件难以逾越的鸿沟。