巧用微软EWF 运行不明程序也不再害怕

　大哗漏　有时候我们要运行一些来路不明的程序，可是又惧怕是病毒木马什么的，这个时候我们可以使用虚拟机来完成软件的运行，不过虚拟机的安装和设置比较麻烦，对于菜鸟来说，“影子系统”使用起来要比虚拟机方便得多，因为使用“影子系统”后，所有 *** 作写入的数据都会存储在内存中，而不写入硬盘，只要电脑重启，数据就会被全部还原，这样即使不明程序是病毒木马也不用怕了。

其实Windows的东家微软公司也有自己的“影子系统”，只不过嵌入在别的软件中，没有引起大家的重视，下面就让我们来认识微软自己的“影子系统”——EWF。

编辑提示：微软的“影子系统”也很强大

EWF全称是Enhanced

Write

Filter，是微软FP2007嵌入式 *** 作系统的一个组件，利用这个组件用户可以快速打造一个影子系统，使我们的系统免受病毒和木马的侵害。当然，它和杀毒软件不同，EWF实现的是彻底还原，无论病毒多么狡猾，多么强大，在重启之后一样灰飞烟灭。

实践证明，微软原版影子系统比市面上的所有影子系统都要优秀，完全绿色免费，通过最底层重定向内存 *** 作地址来达到影子系统的目的，无资源占用，相比市面上的一些影子系统会被病毒穿透的漏洞，Enhanced

Write

Filter直接运用微软Windows *** 作系统最底层嵌入调用，这是其它影子系统无法比拟的优势，病毒根本无法穿透。

EWF的安装

首先下载EWF(下载地址：http://www.cbifamily.com/download/201123.html)，把它解压到一个非系统分区。如果你的系统安装在C盘，那么就把它解压到D:EWF。双击其中的setup.bat开始安装。需要注意的是EWF安装结束后系统会自动重启，因此在安装前一定要保存好数据。

▲EWF的工作原理示意图

重启完成后，双击运行D:EWF文件夹中的TRUN

ON.bat文件，这时系统又会自动重启。当下一次进入系统时，系统已经处于EWF的保护之中了。EWF默认只对第一分区进行保护，也就是我们的C盘，如果我们想让EWF保护其他的分区，可以用记事本打开刚才运行的TRUN

ON.bat文件，将其中的“ewfmgr

c:

-enable”修改为“ewfmgr

d:

-enable”，保存后双击运行就可以了。

▲运行TRUN

ON.bat开启保护功能

EWF的使用

EWF安装完成后，我们如何得知其保护状态呢?点击“开始”→“运行”，输入“cmd”运行“命令提示符”，输入命令：“ewfmgr

c:”并回车，在回显信息的“state”这项中我们可以看到其状态为“ENABLED”，则说明EWF正在保护中。“Type”这一项显示为

“RAM”，也就是内存，说明我们所有的 *** 作都会被存储在内存中，下次重启后所有写入的数据都会被还原。

▲C盘正处于保护中

下面我们简单试验一下，看看EWF的效果如何。在桌面上新建一个test文件夹，然后重启，进入系统后我们会发现test不见了，说明EWF正在执行它的保护作用。现在，无论我们怎么折磨系统，或者访问恶意网页，都已经无所谓，因为这一切在下滚烂次重启时就会还原。现在我们可以尽情地使用电脑了。

更新保护内容

在平时使用电脑的过程中，难免会有一些数据资料需要保存，例如杀毒软件的病毒库、自动更新的补丁等，那么如何让EWF保存这些更新的数据呢?方法很简单，双击D:EWF文件夹中的save.bat，重启以后数据就会被保存下来了。

关闭EWF保护功芦羡能

EWF保护功能的关闭和开启同样简单，在命令提示符中输入“ewfmgr

C:

-commitanddisable”命令并回车，就可以将EWF的保护功能关闭了。

如果要取消保护,可以耐拦乎在运行对话框中输入“ewfmgr C: -commitanddisable”按回车键执行,接着重启即可关闭EWF保护。

ewfmgr覆盖类型的优点：

优点：

1：保护磁盘上的数据以避免被改变或破坏。

2：提供磁盘内容的多个快照。

3：允许将磁盘写入 *** 作提交到受保护的卷。

4：还原到以前的覆盖级别。

5：保护磁盘上的数据以避免被改变或破坏。

6：启用无状态 *** 作。

7：使 XPE 能够在没有持久性存储的系统衡友上运行。

Microsoft Windows XP Embedded with Service Pack 1 (XPE w/SP1) 中支持两个基本类型 EWF 覆盖。

首先是基于磁盘的覆盖，它将所有写入 *** 作重定向到硬盘上的不同分区。如果需要，可以将覆盖分区中存储的数据提交到受保护的卷。对于单个卷，可能存在多个磁盘覆盖，并且这些覆盖可能分层。通过这一机制，可以为磁盘创建多个检查点。

您可以剥离覆盖层以便还原到以前的视图。这可以通过 EWF 管理器应用程序进行控制（有关详细信息，请参阅下面的“EWF 管理器应用程序”部分）。XPE w/SP1 每卷最多支持 9 个覆盖。

第二种类型的覆盖是基于 RAM 的覆盖。基于 RAM 的覆盖将所有写入 *** 作重定昌悉向到内存。通常，当计算机关闭或重新启动时，该数据会丢失。XPE w/SP1 能够使该数据在关机后继续存在。但是，如果计算机不是正常关机，则数据会丢失。每个卷只能配置 1 个 RAM 覆盖。

系统恢复的有问题。直接换个验证过的系统盘重装系统就行了，这样就可以全程自动、顺利解决 win7系统运行异常 的问题了。用u盘或者硬盘这些都是可以的，且安装速度非常快。但关键是：要有兼容性好的（兼容ide、achi、Raid模式的安装）并能自动永久激活的、能够自动安装机器硬件驱动序的系统盘，这就可以全程春凳自动、顺利重装系统了。方法如下：

1、U盘安装：用ultraiso软件，打开下载好的系统安装盘文件（ISO文件），执行“写入映像文件”把U盘插到电脑上，点击“确定”，等待程序执行完毕后，这样就做好了启动及安装系统用的侍拦u盘，用这个做好的系统u盘引导启动机器后，即可顺利重装系统了；

2、硬盘安装：前提是，需要有一个可以正常运行的Windows系统，提取下载的ISO文件中的“*.GHO”和“安装系统.EXE”到电脑的非系统分区，然后运行“安装系统.EXE”，直接回车确认还原 *** 作，再次确认执行自动安装 *** 作(执行前注意备份C盘重要资料)；

3、图文版教程：有这方面的详细图文版安装教程怎么给你？不能附加的。会被系统判为违规的。

用这个可以解决问题老森胡的，重装系统的系统盘下载地址在“知道页面”右上角的…………si xin zhong…………有！望采纳！

---