试试微软影子系统病毒不会再缠身

本文可以学到

1 EWF保护原理

2 使用EWF保护分区不受病毒侵入

3 使用EWF有选择写入保存数据

本文相关小知识

FP2007的全称是Windows XP Embedded SP2 Feature Pack 2007（本文简称为XPE），是一种嵌入式操作系统。

EWF的全称是Enhanced Write Filter。通过这种技术，可以把系统要写到磁盘上的数据，重定向到其他不同的存储位置（称为覆盖），重定向的位置可以是本机未分区的区域或者内存。但重定向的操作是在后台悄悄完成的，作为应用软件来说并没有察觉，还以为自己是在往磁盘上写入。本文介绍EWF保护是基于RAM（内存）的覆盖，它通过注册表设置控制C盘写入，把所有写入操作重定向到内存，所以重启后可以抹除所有的写入操作。对EWF感兴趣的朋友可以登录/china/MSDN/library/Mobility/embedded/USdnxpesp1ewfwinxp.mspx?mfr=true，查看微软的技术文档。

网络大补贴

未分区区域配置比较复杂，大家可以参考/en-us/library/ms912906.aspx的介绍。

微软也有自己免费的影子系统，那就是FP2007的EWF系统保护，下面一起来看看微软影子系统如何保护我们。注意：本文的测试环境是原版XP SP2，有些精简版如深度精简系统会出现无法保护的情况。

简单操作，EWF请进家

第1步：EWF的核心只是2个DLL文件，可以到/cfan/200805/ewf.rar下载。下载后将文件解压到d:\ewf，然后启动命令提示符输入下列命令安装：

D:

cd ewf

Setup.bat

第2步：重启进入系统后，单击“开始运行”，输入“d:\ewf\TRUN ON.bat”开启EWF保护，系统会立刻重新启动。重启后进入系统就可以使用EWF保护了，默认保护第一分区。

第3步：要查看EWF是否启用，可在命令提示符中执行“ewfmgr c: ”，可以看到EWF使用RAM，保护状态为enable（打开，如果显示为disable则是禁用状态，请检查上述操作是否有误），保护的分区是C盘，EWF所有写入操作重定向到内存（见图）。如果要取消保护，可以在运行对话框中输入“ewfmgr c: -commitanddisable”，按回车键执行，接着重启即可关闭EWF保护。Ewfmgr还有很多参数，大家可以输入“ewfmgr /?”查看。

小提示

运行其中的setup.bat安装后会马上重新启动，安装前请自行做好其他文档的保存工作。如果你不想让它自己重启，也可以在安装前用记事本打开setup.bat，删除其中的“shutdown -r -f -t 01”命令，这样自己可手动重新启动（EWF中其他几个命令也是如此）。下面所有的命令都必须重新启动系统后才能生效。

细心呵护，EWF保护全面周到

实战1：C盘彻底拒绝病毒

确保你的系统安装在C盘，并且浏览器软件也安装在C盘目录下，这时按上面方法开启EWF保护后，我们就可以放心上网了。如果一不小心访问了恶意网页，并被它在系统中做了手脚，别担心，重启系统后恶意网页所留下的痕迹将被完全清除干净，因为此时恶意网页入侵的你的系统，不过是内存中的一个假象。

其实大家可以自行测试一下，开始EWF保护后，在C盘新建任意一个文件，重启后再看看，新建的文件是不是没有了？

实战2：有选择的保存写入

由于EWF默认每次进入系统都保护整个C盘，但有时我们又需要保存C盘的一些数据。比如，对于杀毒软件，我们升级后就要保存新病毒库数据。如何才能在不取消保护的情况下，保存写入被保护分区的数据呢。可按以下方法操作：

第1步：进入系统后，立刻联网升级病毒库。最好不要执行其他无关操作，这样才能保证写入的数据只是更新的病毒库文件。

第2步：病毒库升级完毕，单击“开始运行”，运行“d:\ewf\save.bat”，系统重新启动。这样在下次进入系统之前，EWF会把升级了的病毒库写入C盘。由于没有执行其他操作，这样保存的就只是更新的病毒库文件。

第3步：重新进入系统后，第一分区仍然继续受保护。如果要保存多个写入数据，可以依次执行完操作后再执行save.bat保存。这一方法同样适用于安装后需要重启的应用程序，这样重启后仍然可以使用安装的程序。

小提示

EWF采用部分内存来作为写入的缓冲，建议使用EWF保护的电脑内存在512MB以上。如果运行的程序过多或者内存不足，系统会出现延缓写入失败的提示。这时只要重启一下电脑即可。对于小内存的用户，EWF可以使用未分区的区域来存放写入内容，首先要使用PQ等分区软件划出未分区的区域（一般1～2GB即可），接着使用Ewfmgr配置EWF分区用来保存覆盖。

怎么样，微软的影子系统是不是能很好地保护我们的系统呢。赶快把它请进你的系统里吧。