恭祝SEFS新老客户新年快乐，龙马精神。

2012年，SEFS将按计划继续推出重量级的更新。

敬请期待。

## 3.3.5.3858

ufsd.dll ufsdcrypto.dll
1.应用层引入一个内存池,tcmalloc google出品。
使用静态库的方式链接,简单测试下来，性能的提升不明显。
可能tcmalloc的意义在于长时间的运行后，内存碎片的减少。

启用新的SVN服务器，原有的服务器和账号即日起停止使用，请有效客户联系SEFS开通SVN账号。

采用ADSL线路架设，所以最好在 12:00 — 24:00 之间更新SVN源代码，以确保服务器已经开机。

##SEFS3.3.5.3857

vfsd.sys
1.重现定义版本的标示，版本号的前3位如果有变化，表示需要更新sys文件，
仅仅是最后一位 BuildNumber 变化，不需要更新sys。

ufsd.dll
1. 修正一处内存泄露的bug。

ufsdcrypto.dll
1.调整Mirror策略的处理流程，使之能够处理通过临时文件保存的Mirror文件也能
起到应有的效果。
2.修正函数MirrorLock的处理，解决office系列不能打开mth类文件的问题.
3.FileProc.c 修正一个文件加密处理的bug。空指针，会导致程序崩溃。

所谓进程加密，当然只加密部分进程的文件操作。称之为授权进程。那么在文件过滤中如何识别授权进程呢？。

首先是进程识别的时机问题，我们不需要在每个IRP来到的时候去做进程的识别过程，这将是大量的低级劳动。一般放在进程创建的时机。判断为授权进程后，放入一个链表即可。SEFS是在ImageLoadNotify中识别的，这里可以轻松的得到进程的全路径。

再说说识别算法，最简单是判断进程名称，或者是进程全路径。最严格的是判断进程Bin的HASH。再折中的做法是判断进程Bin的特征码。目前这3种SEFS均支持。但是在实际运用还在一些问题。

HASH过于严格，进程名称过于宽松，特征码呢，实施人员不能很好的理解，所以在部署过程中，加密策略的制定，成了一件头疼的事情。

后来跟某个友厂的同行交流，他们从进程Bin的资源信息中判断 内部名称或者是原始文件名称之类的信息。突然觉得也不错，在安全性和易用性之间似乎是个不错的平衡点。所以现在SEFS最新的版本也增加了这个功能。授权进程的识别，可以移到应用层。按照开发商自定义的判断逻辑进程识别。

安全？易用？永恒的话题！

## SEFS 3.3.4.3856

增加功能：
+ 1.授权进程的判断可交由应用层判断。
+ 2.演示如何在应用层判断授权进程，通过读取exe的资源信息。
+ 应用层保护dll注入进程的时候增加一个目标进程时候成功创建完成的判断
问题修正：

.*1. helpDll 修正 SefsSecuCheckProcEx  的bug.

兼容性参考：
1. ufsd.h 接口有变化(进程通知接口参数有变化)
2. 应用层判断授权进程的策略有变化.
原来的进程名称 在应用层判断的时候 可写成：

ProcName | OriFileName | InternalName | ProdcutName

后面的均从资源中获取得到.支持通配符.

## SEFS 3.2.3.3855

vfsd.sys
1.修正XCB算法

ufsdcrypto.dll
1.修正 bug,表现为 “@”写欺骗策略，会导致文件增长。从而显示乱码。
乱码的原因在于 底层的文件系统首先将增长的部分内容补0，然后应用层解密 从而得到密文的乱码

3.2.3.3854

vfsd.sys

#1.修正授权进程匹配中的错误，授权进程自身启动自身导致的死循环。 应用层无修改。

#更新：

1.兼容 x64 win7、win2008/vista,win2003

2.安装包分开32位和64位。

##注意：

sefs3.sys 没有文件签名，所以在64位下需要，禁用“强制驱动证书签名验证”。

可在系统启动的时候，按 F8,选择“禁用强制驱动证书签名验证”。方可正确运行。

请开发商自行找相关的签名证书。

3.2.3.3852
vfsd.sys
1. 修正create中获取文件名称的bug 表现为winrar不能虚拟盘执行压缩.
2. 修正create中FCB的相关处理
3. 修正DirCtrl中bug.

ufsd.dll
1.修正64位下 DirCtrl的处理