九乡新闻网韩娱gd金真儿黑化同人:最小的影子系统:微软的免费“影子系统”——EWF
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 03:52:54
EWF(Enhanced WriteFilter:增强写过波,相当于影子吧)其实就是微软FP2007嵌入式操作系统的一个组件,它被称为微软的“影子系统”。利用这个免费小巧的组件,可以非常容易地打造一个影子系统,让我们的系统在病毒、木马横行的Internet中百毒不侵。
ps:Ewf提供对原版系统的保护,如果你的系统是精简版可能会出现无法保护的情况。
一、EWF的工作原理
EWF提供了一种保护卷以防止写入的功能。这使操作系统可以从只读设备中启动。这样,所有对受到EWF保护的分区进行的写入都被重定向到“覆盖”。
EWF提供了两种覆盖模式,即磁盘模式(EWF Disk Mode)以及内存模式(EWF RAMMode)。其中,磁盘模式就是基于磁盘的覆盖类型,它将所有写入操作重定向到硬盘上的不同分区。如果需要,可以将覆盖分区中存储的数据提交到受保护的卷。对于单个卷,可能存在多个磁盘覆盖,并且这些覆盖可能分层。通过这一机制,可以为磁盘创建多个检查点;此外,内存模式一种是基于RAM的覆盖,将所有写入操作重定向到内存。通常,当计算机关闭或重新启动时,该数据会丢失。
基于磁盘的覆盖和基于 RAM 的覆盖特征对比见下表。
二、EWF的实际操作://www.6iyn.com]
1、下载EWF压缩包,并把它解压到一个非系统分区,比如E:\ewf。然后双击setup.bat进行安装。安装完成系统会自动重启。(图1)
ps:也可以在运行中执行该批处理。方法--“开始→运行”,输入“E:\ewf\setup.bat”(路径要对),回车,就可以了。(下同)
2、开启EWF影子保护。[转载自云南网吧技术联盟]
系统重启后,双击单击“E:\ewf\TRUNON.bat”。开启EWF保护,然后系统会立刻重新启动,重启后进入系统就可以使用EWF保护了。默认情况下保护第一分区,当然也可进行设置对其他分区的保护。修改一下TRUNON.bat里的内容就行了,看后面。(图2) [转
PS:当C盘处于受EWF保护的状态后,我们如果在C盘上安装或删除文件,下次重启电脑后都将恢复到安装或删除之前的状态。
其实EWF也提供了一个保存功能,这样在EWF保护状态中,我们想升级病毒库、安装一些软件或复制一些文件时,在操作完成后,运行EWF目录下的Save.bat文件,系统重启后,EWF会把升级了的病毒库数据真正写入C盘。
3、查看是否开启了保护]
要查看EWF是否启用,可在命令提示符下输入“ewfmgr c:”,可以看到EWF使用RAM,保护状态为enable(打开,如果显示为disable则是禁用状态,请检查上述操作是否有误),保护的分区是C盘,EWF所有写入操作重定向到内存(图3)。 [
]
4、关闭EWF影子保护。
如果要关闭保护,我们只要运行EWF目录中的TRUN OFF.bat文件,重启即可关闭EWF保护。
PS:也可以在运行对话框中输入“ewfmgr C: -commitand disable”按回车键执行。
Ewfmgr还有很多参数,大家可以输入“ewfmgr /?”查看。
5、设置EWF全盘保护和其他分区保护功能
默认情况下EWF只保护系统分区,如果我们要进行全盘保护或设置其他分区保护时,我们只要对TRUN ON.bat进行简单修改即可。
首先用记事本文件打开“TRUN ON.bat”文件,我们可以看到下面的语句。
ewfmgr c: -enable
shutdown -r -f -t 01
这个语句表示对C分区进行保护。如果我们想保护其他分区时,如D盘,我们只要将这两行语句复制添加到下面,并将“C:”修改为“D:”即可(图2)。修改后,再次运行TRUN ON.bat,重启计算机后就可以对C、D两个分区同时保护了,以此类推,保护E、F,重复复制添加。
三、实战演练
1、全面保护系统盘,彻底拒绝病毒侵袭
确保你的系统安装在C盘,并且浏览器也安装在C盘目录下,这时按上述方法开启EWF保护后,我们就可以放心上网了。如果一不小心访问了恶意网页,并被它在系统中做了手脚,别担心,重启系统后系统就会恢复原样,这一切都不复存在。因为此时恶意网页入侵的你的系统,不过是内存中的一个假象,并不会写入硬盘。这对于进行病毒木马测试非常安全方便,不会有后顾之忧。特别是在一些公用电脑,或者家庭成员电脑水平比较低应用EWF保护,就能很好的保证系统的安全。比如我们可以进行一个测试,开始EWF保护后,在C盘新建任意一个文件,重启后再看,新建的文件是不是没有了。(图4)
2、有选择地保存写入,兼顾特殊需要
由于EWF默认每次进入系统都保护整个C盘,但有时我们要往C盘保存一些数据。比如,对于杀毒软件,我们升级后就要保存新病毒库数据。如何才能在不取消保护的情况下,把数据写入被EWF保护的分区呢?可按以下方法操作:
第一步:进入系统后,立刻联网升级病毒库。最好不要执行其他无关操作,这样才能保证写入的数据只是更新的病毒库数据。
第二步:病毒库升级完毕后,单击“开始→运行”,输入“e:\ewf\save.bat”,系统重新启动。这样在下次进入系统之前,EWF会把升级了的病毒库数据写入C盘。由于没有执行其他操作,这样保存的就只是病毒库文件。
第三步:重新进入系统后,第一分区仍然继续保护。如果要保存多个写入数据,可以依次执行完操作与最后再执行save.bat即可。这一方法同样适用于安装后需要重启的应用程序,这样重启后仍然可以使用安装的程序。(图5)
[转载自云南网吧技术联盟]
3、一次休眠操作后,让系统快速启动 [转载自云南网吧技术联盟]
在命令行下输入命令“ewfmgr c: -activatehorm”对系统进行休眠操作。这样系统重启后就可以实现快速启动了,这时你无论是断电,复位,强行关机等操作均无效,只能从休眠状态快速启动。 [http://www.6iyn.com]
如果要取消快速启动在命令行下依次输入下列命令即可:
ewfmgr c: -disable
ewfmgr -deactivatehorm
shutdown -r -t 1
总结:其实EWF只是微软FP2007嵌入操作系统的一个组件,它还有很多的功能,有待于大家在实际操作中践去挖掘。 [