有必要将FBWF植入win 7么？

个人觉得是有必要的。。

FBWF,即File Based Write Filter,中文意思是基于文件的写保护过滤。开启FBWF功能后,被保护区域的所有写入,将写入内存而不会写入硬盘,从而达到系统的绝对安全,病毒、木马、流氓软件、误 *** 作、系统垃圾等一概被拒绝。因系统区只读不写,写 *** 作都在内存中进行的,相对速度要比 *** 作硬盘快很多,不仅可以提高性能,同时还有效延长硬盘的寿命。因此,我们完全可以把这一功能移植到WinXP/Win7系统中。

Win7中VHD原生启动时要使用单一的VHD文件，通过VHD文件原生启动后，VHD文件被映射为一个磁盘。由于VHD差分功能的存在，从某种意义上已经实现对源盘的写入保护。FBWF对磁盘的写保护功能与VHD差分功能相似，但两者工作不在一个级别上。按道理，微软可以实现VDH原生启动系统的中的FBWF功能，但目前在VHD原生启动的Win7中还没见有成功安装FBWF的先例。只能认为是微软目前还未支持这一功能的实现，其详细技术原理有待大家研究后公布。

你的系统保护太薄弱了

下面是某网吧管理员技术论坛放出的一篇文章，希望对你有用吧

权限的妙用----有没有听说可任意修改写保护U盘光盘的『固化文件防毒技术』让硬盘免疫病毒？

想和大家分享一下，我们几个防毒爱好者在不断的测试各种防毒试验和不断思考中新发现的一个方法。用它可以和FBWF一样，实现对所有只读写保护文件的修改删除 *** 作，比如光盘 *** 作系统文件和写保护的u盘的写入，也可以对虚拟光驱虚拟的光盘的写入。尤其对多 *** 作系统的保护具有优势（经常被病毒改写exe文件的朋友注意了），可以抵御各种感染型病毒，退出系统进入新系统下也照样有效防御病毒。

大家都知道windows7吧，以它强大的安全特性确实成为一批使用者的青睐，那么能不能让XP系统的电脑的防护也竟可能的借鉴一下它的安全性呢？

我想WIN7可以有效阻止内存中运行的进程之间的通话，对防御木马病毒是很有效的，不过我比较喜欢它的另一个特性，就是它如何保持8G大小的系统文件不 让病毒进入。其实win7的内核机制在发挥作用，有一个阻止所有的外来文件对系统做任何修改和写入或删除的机制，把系统文件固化在了硬盘上，第三方软件不 太可能对系统做任何改动的，同时它使用了重定向的功能，把所有的改动都移动在一个专门的目录里，也就相当于影子的缓冲区了。

我认为这套思路很好，固化+重定向的组合，毕竟影子系统只有重定向的功能，没有固化呀！穿了影子后就可以随便做破坏了。既然如此我们就要对自己的电脑做一下尝试，让自己的硬盘里也拥有固化（即堵）+重定向（即疏导）的功能。呵呵。。。。

这样设置的电脑还有哪些防毒漏洞？还有人能让这样的设置的电脑也中病毒吗？

下文乃是贫道近几年和病毒交战中，运用上古阴阳学实战防毒的心法结晶，

供大家学习交流，希望得到一个抛砖引玉的效果

分享一个防御测试中的新发现-------疏堵结合阻止破坏硬盘数据的方法

固化文件技术让硬盘免疫病毒

防御病毒组合思路。记得，一定要组合，因为一个软件总有不足，需要配合。

防御病毒我分为硬盘防毒和内存防毒。内存防毒呢，主要是防御进程中的病毒（内存防毒主要是组策略和HIPS，我还没有理出头绪，请高手指点吧）。而硬盘防毒也就是FD吧，入口防御。硬盘防毒，我们又可以分为系统区和非系统区以及引导区防毒。

先说非系统盘分区，看了下面的图片就知道，这个思路的基础了

首先，我们把所有的文件时间都被改成了2088年8月 8日8：08，这样做能对影子类软件和权限的保护起到一个监视的作用。同时预防理论上极少数BIOS类病毒，怕它们在系统启动前就从BIOS里进入硬盘， 方便大家按时间的变化找到被修改过的文件（实在是找不到一个能很方便的发现和找到被病毒写入和修改的文件数据的工具）。同时这样也很美观，呵 呵。。。。。。这是用TOUCHPRO修改的(是电脑爱好者杂志推荐下载)，发现同类软件里只有这个软件可以修改文件目录的时间。用这个方法我们也可以检 测出绿色软件有没有在运行和做了设置后，回写了目录里的一些文件，并帮助我们成功得把一些绿色杀毒软件设置能只读权限，不怕病毒破坏。

在非系统分区里，我们可以大胆的把扫描后确认安全的目录和文件，设置能只读权限（几秒钟的事情）。不过光靠这样来保护是不行的，一方面一些病毒的底层格式 化行为还是会破坏这样的权限的，另一方面也会妨碍有程序回写文件，所以我们还是需做一些协同的 *** 作。

试验发现沙盘在防御病毒的同时，

①竟然可以往被写保护的硬盘分区和目录里面写文件（和FBWF效果相同，重定向模拟器），

② 同时沙盘会拦截各种底层的磁盘 *** 作和驱动的加载，有效地保护了只读权限。

③可以模拟那些被写保护的文件的回写 *** 作。

④另外由于发现有少数绿色软件还是会向硬盘甚至C分区写文件（制作了不太好啊，推荐用 VMware 公司的安装扫描软件VMware ThinApp 4.0.1绿色版来自制绿色软件），沙盘也正好起到避免系统垃圾产生的作用。

同样的，就算有病毒穿透了沙盘，那也没什么大用处，不太可能再穿透只读权限。经测试，下载一个普通的病毒样本，因为硬盘数据大都是只读的，写保护的，写不进去，所以它只能乖乖地在我们提供的沙盘里运行，别无出路。

---------在这里由于不可能完全保证重定向能100%防御住所有的病毒，增加的只读写保护防御就大大的保证了可靠性。可谓完美的组合。

经过上面的设置，非系统分区基本上就不怕病毒了(包括极少数格式化病毒)。如果还担心沙盘总是反复读写硬盘同一个地方，从而缩短了硬盘寿命的话，如果电脑 的内存够大的话，我们可以用RAMDISK，在内存中划出一个空间，用沙盘自带的功能把“保存的文件夹”设置到内存中去。经测试效果很好。p:内存更大的 话，还可以把 WINRAR\IE\FLASHGET\迅雷\WMP\播放器的缓存目录也放到内存去，打造一个很少写硬盘（包括系统分区）的电脑（网上有篇文章，制作 Windows光盘运行版，有兴趣可以去看看），上网和下载BT时，我的硬盘很少亮灯,呵呵。。

怎么解释一下我的思路呢？只读权限最怕磁盘底层 *** 作病毒但沙盘不怕，沙盘最怕穿透性病毒但只读权限不怕（病毒出来后也写不进去呀---好像逃出了门但又撞了墙一样）。

再来谈谈，系统分区和引导区。建议用影子系统，配合TOUCHPRO来完成。TOUCHPRO的效果同上，建议在每次启动电脑后，可以看看系统分区，一般 windows文件夹里只有5个文件会发生写 *** 作，这是系统自己回写的。影子系统能不能和只读权限配合，这个我还没有测试过。希望有朋友来测一下（但沙盘和只读权限完全可以搭配）。

本帖隐藏的内容需要回复才可以浏览

有兴趣的话，可以在网上查查影子系统防穿测试，下载自己喜欢的影子（我推荐用RVS,SD），影子系统挑选可有讲究了，比如防穿透性，是否写入引导区等等，是内存模式还是硬盘模式等等，听说有款影子确实很有特色（是ShadowUser Pro），在安装需要重新启动的软件时，比如杀毒软件，重启后文件不会丢失。这个功能很有意思，和虚拟机的增量备份功能还有WINDOWS7的重定向差不多了，有病毒或设置出现问题的话，可以回到原来的影子状态，很不错。有的影子系统可以进入全硬盘保护模式，这个也很好。还有一个FBWF能实现对只读的或固化的文件（比如光盘）的写入修改模拟和按目录保护而不是按分区保护，也有的影子可以实现一次休眠，多次启动。可以根据自己喜好来挑选。

但是影子系统不是完美无缺的，有个问题 -------最怕驱动型病毒，比如机器狗磁碟机类病毒穿透后写入真实的系统，所以RVS等影子就多了一个HIPS（主机防御）的监控功能来对付驱动加载，所以没有hips的影子可以挑选一个hips的软件，推荐毛豆防火(含规则包)。

上网时，我基本上不用杀毒软件的，因为我的网速还是不太快（无线）。对了，再配合用最强悍的也是免费的毛豆防火墙（不带杀毒版本）来对付黑客还是很好的。还有一个原因，因为byshell内核级的木马运行的时候，很多杀毒软件的hips都发现不了，当然它穿不透影子，一般不用害怕。并且毛豆的 HIPS功能可以发现这个BYSHELL的行动，很强悍，还有也可以提醒机器狗类驱动的加载。

==================================================================

那么在影子模式下，如果要安装一些软件该怎么办呢？

本帖隐藏的内容需要回复才可以浏览

可以使用免费的云端软件平台，它和影子系统可以完美的组合，弥补影子下不能安装软件的问题。而且这个重定向软件本身就是绿色软件，比如安装卡巴,NOD32,小红伞等杀毒软件，我都用它安装，这很符合有些人使用绿色杀毒软件的爱好。下载的网上的东东，就可以用三个杀毒软件一起查，特别方便。要删除的话，呵呵，直接手动删掉安装的目录就可以了。

如果觉得云端不好用的话（占了19M内存，有可能有驱动兼容问题），也可以直接下载绿色的杀毒软件（我的NOD32就是绿色带监控的）。经过测试，发现杀毒软件的隔离区因为不在安装目录里，所以完全可以把杀毒软件的安装目录设置只读权限。不用的时候也不会中毒，也照样可以随时启动杀毒。------ 只读权限就是强大。

如果你是个精力旺盛的反毒斗士，我推荐你到****学习制作单文件 *** 作系统（像WINpe一样），然后把系统设置成只读权限。一个文件很好维护吧！！！再用FBWF控制台（微软开发的写入过滤器），实现所有的文件重定向，好了你的系统和WINODOWS7一样的安全了吧！！！

最后推荐大家广泛的使用重定向软件来保护硬盘里的文件不被破坏，有条件安装WIN7也是个好的选择，它的重定向等防御能力比XP已经强了不少。

----------------FBWF控制台不同于一般影子系统，它可以对光盘在内，甚至PE进行写 *** 作映射？这对防御病毒的意义重大呀！我的意思是说，FBWF可以对写保护的分区进行写 *** 作映射，那么那些可以穿透影子系统的病毒对FBWF是一点办法也没有的（因为你穿了的话，下面还是写保护的，穿也白穿），也就是说FBWF，比影子系统强悍很多

所以我感觉FBWF不是一般意义的影子，全名不是叫---写入过滤器吗？

使用这个就可以让C盘（保护的盘）只读不写。这个本来是win7的嵌入版使用的，让系统在光盘上都可以运行。

对于普通用户的好处是：

1.可以保护系统。当然也有可以穿透的病毒。不过你可以把系统刻录在光盘上，呵呵，永远不中毒。

2.提高系统启动速度，普通硬盘在同一时间只能读或者写的，使用fbwf把写入影射到内存，那硬盘就只需要读 *** 作了。

3.使用固态硬盘的可以延长寿命（写入少了），对于那种没有缓存的老固态硬盘（随机写入弱项）可以明显提速。

---