用微软的EWF软件保护系统。 相信很多人都知道,影子系统是一款有名的国产软件,它的作用就是可以让所有操作还原,保护Windows系统不受意外破坏。其实微软也在不久前推出了自己的EWF(Enhanced Write Filter)软件,它被称为微软的“影子系统”。利用这个免费软件,可以让我们的系统免受病毒、木马的侵扰。
一、EWF的工作原理 EWF提供了一种保护卷以防止写入的功能。这使操作系统可以从只读设备中启动。这样,所有对受到EWF保护的分区进行的写入都被重定向到“覆盖”。
EWF提供了两种覆盖模式,即磁盘模式(EWF Disk Mode)以及内存模式(EWF RAM Mode)。其中,磁盘模式就是基于磁盘的覆盖类型,它将所有写入操作重定向到硬盘上的不同分区。如果需要,可以将覆盖分区中存储的数据提交到受保护的卷。对于单个卷,可能存在多个磁盘覆盖,并且这些覆盖可能分层。通过这一机制,可以为磁盘创建多个检查点;此外,内存模式一种是基于RAM的覆盖,将所有写入操作重定向到内存。通常,当计算机关闭或重新启动时,该数据会丢失。
基于磁盘的覆盖和基于 RAM 的覆盖特征对比见下表。
二、用EWF保护系统 1.EWF程序的安装
EWF是微软FP2007嵌入式操作系统的一个组件,如果在Windows XP下使用,我们首先可以到http://www.cnzz.cc/Soft/2433.html下载它。程序下载后将它解压缩到任意文件夹中即可。这是一个绿色程序,双击该文件夹中的setup.bat安装批处理文件,随后程序打开一个“命令提示符”窗口并开始安装。安装完成系统会自动重启。
2.开启EWF的保护功能
EWF安装后,默认的情况下,EWF并没有处于保护状态,如果要开启EWF的系统保护功能,我们可以在EWF文件夹下运行TRUN ON.bat文件,重启后再进入系统就可以使用EWF进行系统保护了。
接着打开“命令提示符”窗口。随后在命令提示符下键入“ewfmgr c:”命令(其中c:为分区盘符),在显示的信息列表中如果State项显示为“enabled”表示EWF已经对C盘进行保护(图1)。如果显示为disable则是禁用状态,我们需要重新运行TRUN ON.bat文件。
当C盘处于受EWF保护的状态后,我们如果在C盘上安装或删除文件,下次重启电脑后都将恢复到安装或删除之前的状态。其实EWF也提供了一个保存功能,这样在EWF保护状态中,我们想升级病毒库、安装一些软件或复制一些文件时,在操作完成后,运行EWF目录下的Save.bat文件,系统重启后,EWF会把升级了的病毒库数据真正写入C盘。
如果我们想关闭EWF的保护功能,我们只要运行EWF目录中的TRUN OFF.bat文件即可。
3.设置EWF全盘保护和其他分区保护功能 默认情况下EWF只保护系统分区,如果我们要进行全盘保护或设置其他分区保护时,我们只要对TRUN ON.bat进行简单修改即可。
首先用记事本文件打开“TRUN ON.bat”文件,我们可以看到下面的语句。
ewfmgr c: -enable
shutdown -r -f -t 01
这个语句表示对C分区进行保护。如果我们想保护其他分区时,如D盘,我们只要将这两行语句复制到下面,并将“C:”修改为“D:”即可(图2)。修改后,再次运行TRUN ON.bat,重启计算机后就可以对C、D两个分区同时保护了,以此类推。
怎么样,有了这个小小的EWF程序后,我们可以高枕无忧了,再也不怕病毒、木马的骚扰了。
