我的电脑你别动!给Win7装上写保护

我们都知道，刚刚安装完的系统是运行效率最好的，而在使用过程中，有经验的用户往往会把除了必要的软件（如Office、杀毒软件等）安装在系统盘外，其他一些小软件会安装到别的盘，而且尽可能使用那些不对注册表或系统目录有写入操作的绿色软件，这样做的目的就是为了保持系统的干净。但在使用电脑的过程中如果不使用像“还原精灵”这样的专业软件，要杜绝软件对系统写入文件是非常困难的，如果Windows自己也能有这样的功能就好了。

事实上，Windows系统也有这样的功能，只是微软没有把这个功能集成到WinXP/Win7等针对普通用户的系统中，而在Windows Embedded系列系统中却有这样的功能，这个功能叫FBWF，即File Based Write Filter，中文意思是基于文件的写保护过滤。开启FBWF功能后，被保护区域的所有写入，将写入内存而不会写入硬盘，从而达到系统的绝对安全，病毒、木马、流氓软件、误操作、系统垃圾等一概被拒绝。因系统区只读不写，写操作都在内存中进行的，相对速度要比操作硬盘快很多，不仅可以提高性能，同时还有效延长硬盘的寿命。因此，我们完全可以把这一功能移植到WinXP/Win7系统中。本文以Win7为例，移植FBWF的步骤和使用方法如下。

1.把FBWF功能植入Win7系统

FBWF有32位（下载地址：/c0kas1d6ua）和64位（下载地址：/c03rou2mza）两种不同的版本，要根据自己的系统来选择合适的版本（本文以32位Win7为例）。将对应版本的FBWF下载到本地并解压，把驱动文件fbwf.sys拷贝到“C:\Windows\System32\drivers”目录中，再把fbwfcfg.exe、fbwfcfg.dll、fbwflib.dll和fbwfMgr.exe等四个执行文件拷贝到“C:\Windows\System32”目录中，接着把fbwf.reg合并到系统注册表中，重启电脑后我们就完成了FBWF的植入。

2.激活Win7的FBWF功能

在一个系统中，我们需要进行一次FBWF的激活操作即可，以后不需要重复激活，但是在使用FBWF功能之后，很多驱动和软件都无法正常保存或安装，因此我们在使用该功能前要做好以下几件事情：

1.把系统必须的驱动安装齐全

2.系统补丁更新到最新

3.必须的第三方软件安装完毕（比如杀毒软件、Office软件、Ahotoshop、Flash播放器等系统必须的软件）

做好上述准备后，那么激活FBWF功能很简单了。用“Windows+R”打开“运行”，键入cmd进入命令行输入窗口，输入命令“fbwfmgr /enable”，重启一次系统后FBWF就被激活了。当然，如果你没有做好这些准备，而你却开启了FBWF功能，你还可以“fbwfmgr /disenable”命令将其关闭再进行各项准备工作。

3.配置FBWF的保护目标以及豁免列表

FBWF可以对磁盘进行整体的写保护过滤，不可以直接单独对目录和文件设置写保护。但由于系统盘中所有的目录或文件都需要写保护，因此在利用FBWF对系统进行保护之后，还需要设置一个FBWF豁免对象清单。也就是说，FBWF的豁免对象必须是包含在它已建立保护的容器中。

我们知道系统启动主要是读取启动的必要文件或驱动，并将这些文件写入内存中，大多数时候是不会对这些文件进行写入操作的。但并不意味着系统就不要写入，一般情况下需要写入的文件或目录列表如下：

表1：使用系统过程中可能要进行写入的系统目录或文件

那么，我们要对C盘进行保护，但又要让系统可以对上述列表进行写入，那么可以在激活FBWF功能后，打开cmd进入命令行输入窗口，依次执行以下命令并重启系统即可。

fbwfmgr /addvolume C:

fbwfmgr /addexclusion C: \pagefile.sys

fbwfmgr /addexclusion C: \hiberfil.sys

fbwfmgr /addexclusion C: \windows\bootstat.dat

fbwfmgr /addexclusion C: \users\administrator\destop

fbwfmgr /addexclusion C: \windows\system32\winevt\Logs

fbwfmgr /addexclusion C: \$Recycle.Bin

fbwfmgr /addexclusion C: \KRECYCLE

小提示

“C:”与“\pagefile.sys”之间要空一格，其他同理；如果路径中有空格，必须用半角双引号括起来，如“fbwfmgr /addexclusion C: "\Program Files"”即豁免“C:\Program Files”。

4.FBWF更多扩展应用

实战1：下载行为我说了算

假设你电脑上有C、D两个分区，其中C为系统盘，已经按照上述的步骤配置了FBWF写保护，然后你希望别人能够使用IE或下载软件进行下载，但希望你这样去规定下载的行为：

1.用户只能把文件保存在“D:\Download”文件中，如果文件保存到别的地方将会在重启后自动删除。

2.用户无法随便更改迅雷的配置（包括重新定位的下载目录），如果更改的话，配置在系统重启后又将恢复到初期状态。

当然，笔者寻找了很多软件并研究了系统的各种权限策略，要完成这样的需求，设置会非常麻烦，但利用FBWF却可以轻易完成：

Step 1：配置IE或下载软件的默认目录。以IE8、IE9以及迅雷7（迅雷安装在C盘或D盘都可以）为例，方法如下：

定义IE8/IE9默认的下载路径：运行“regedit”打开注册表编辑器，依次定位到“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”主键，将右侧的窗口中的“Default Download Directory”键值改为“D:\Download”（如图2）。

定义迅雷7默认的下载路径：在迅雷主界面中依次打开“菜单工具下载配置中心”，切换到“我的下载任务默认属性”选项，然后将“常用目录”项目设置为“使用指定的存储目录”，并把目录定位到“D:\Download”，点击“应用”即可（如图3）。

Step 2：给C盘和D盘建立写保护。其中，C盘的FBWF配置方法和步骤参考上文，我们只需要将D盘保护起来后，再把“D:\Download”加入豁免列表即可。执行如下命令后重启系统即可：

fbwfmgr /addvolume D:

fbwfmgr /addexclusion D: \Download

小提示

上面的方法并不能完美地规定下载行为，用户还是可以文件下载到其他豁免的文件夹中，最常见的就是直接保存到桌面上，但这很容易被管理员发现，所以管理起来也方便。

实战2：让电脑不能下载超过1GB的文件

由于磁盘容量是有限的，别人在使用你的电脑的时候，你不希望他下载一些容量过大的文件。那么你可以用FBWF设置磁盘可使用空间，从而阻止别人下载超过这个剩余容量的文件（如图4）。那么执行以下命令即可：

fbwfmgr /setthreshold 1024 （设置FBWF覆盖缓冲容量为1024MB，即可写入的磁盘容量，设置范围为128MB～1024MB）

FbwfMgr /setsizedisplay 1 （开启实际模式，即磁盘显示的容量为当前的可用用量）