1.先查看客户端日志主进程是否是加密进程、日志中是不是勾选智能半透明、加密类型是否有添加
2.用procmon监控保存的文件找出writefile的进程是否有添加,进程树是否有父进程,加密类型是否正确
3.用procmon监控writefile的进程,查到rename的日志,看看日志中的类型是否有添加
4.最后用pchunter检查客户端驱动是否加载内核--系统回调--有两个我们驱动
