EWF在CF卡上的应用.docx

资源描述

EWF在CF卡上的应用.docx

《EWF在CF卡上的应用.docx》由会员分享，可在线阅读，更多相关《EWF在CF卡上的应用.docx（40页珍藏版）》请在冰豆网上搜索。

EWF在CF卡上的应用.docx

EWF在CF卡上的应用

showtoc

欢迎来到MSDN>移动与嵌入式技术

在WindowsXPEmbedded中使用EnhancedWriteFilter（EWF）

发布日期：

11/8/2004|更新日期：

11/8/2004

StephenBerard

MicrosoftCorporation

适用于：

Microsoft®WindowsXP®EmbeddedwithServicePack1

摘要：

学习如何使用EnhancedWriteFilter（EWF）并了解它的好处、它的限制以及一些有效使用它的技巧。

本页内容

简介

覆盖的类型

配置基于磁盘的覆盖

配置基于RAM的覆盖

EWF管理器应用程序

EWF问题疑难解答

成功技巧

小结

简介

EWF提供了一种保护卷以防止写入的手段。

这使操作系统（OS）可以从只读媒体（如CDROM、写保护硬盘或闪存）中启动。

所有对受到EWF保护的卷进行的写入都被重定向到覆盖。

这些写入被缓存在覆盖中并且作为卷的一部分提供。

这会产生该卷可写的表象。

覆盖可能存在于磁盘或随机访问内存（RAM）中。

如果需要，可以将覆盖中存储的数据提交给受保护的卷。

图1概述了EWF。

图1.EWF概述

有关EWF细节的详细信息，请参阅产品文档中的EnhancedWriteFilter。

返回页首

覆盖的类型

Microsoft®Windows®XPEmbeddedwithServicePack1（XPEw/SP1）中支持两个基本类型EWF覆盖。

首先是基于磁盘的覆盖，它将所有写入操作重定向到硬盘上的不同分区。

如果需要，可以将覆盖分区中存储的数据提交到受保护的卷。

对于单个卷，可能存在多个磁盘覆盖，并且这些覆盖可能分层。

通过这一机制，可以为磁盘创建多个检查点。

您可以剥离覆盖层以便还原到以前的视图。

这可以通过EWF管理器应用程序进行控制（有关详细信息，请参阅下面的“EWF管理器应用程序”部分）。

XPEw/SP1每卷最多支持9个覆盖。

第二种类型的覆盖是基于RAM的覆盖。

基于RAM的覆盖将所有写入操作重定向到内存。

通常，当计算机关闭或重新启动时，该数据会丢失。

XPEw/SP1能够使该数据在关机后继续存在。

但是，如果计算机不是正常关机，则数据会丢失。

每个卷只能配置1个RAM覆盖。

下表概述了每个覆盖类型的优缺点：

基于磁盘的覆盖

基于RAM的覆盖

优点

保护磁盘上的数据以避免被改变或破坏

提供磁盘内容的多个快照

允许将磁盘写入操作提交到受保护的卷

还原到以前的覆盖级别

保护磁盘上的数据以避免被改变或破坏

启用无状态操作

使XPE能够在没有持久性存储的系统上运行

缺点

要求对驱动器进行分区以容纳覆盖分区

需要额外的系统开销，可能影响某些设备上的性能

需要额外的内存，以存储在覆盖中缓存的数据

当系统重新启动时，数据丢失

返回页首

配置基于磁盘的覆盖

下列步骤详细说明了如何配置映像以支持EWF磁盘覆盖：

在目标设计器中，向映像中添加EnhancedWriteFilter组件。

如果您要保护启动卷，则还需要包含EWFNTLDR组件。

配置设备的设置，并选择DISK作为覆盖类型。

在“EWFVolumeConfiguration”中，选择受保护的卷的数量和覆盖级别。

根据您希望在覆盖中具有的空间量，设置分区大小。

确保为每个受保护的卷输入磁盘号和分区号。

还应该选中StartEWFEnabled复选框。

有关所有字段的说明，请参阅WindowsXPEmbedded文档。

图2.配置基于磁盘的覆盖

配置、生成映像并将其部署到设备。

需要对驱动器进行分区，以便在驱动器上的扩展分区中具有可用的空闲空间。

这将由EWF用来在磁盘覆盖中存储数据。

因此，它需要足够大以便容纳您的数据。

例如，要使受保护的卷可以使用100MB的覆盖，该分区必须起码为100MB。

注如果扩展分区不存在，并且您具有的主分区少于四个，则将需要在驱动器上保留未分区的空间。

启动设备。

在FBA期间，EWF将基于注册表中的设置配置本身。

它将创建并格式化EWF分区。

返回页首

配置基于RAM的覆盖

下列步骤详细说明了如何配置映像以支持EWFRAM覆盖：

在目标设计器中，向映像中添加EnhancedWriteFilter组件。

配置设备的设置，将EWF分区大小设置为0，并且选择RAM作为覆盖类型。

在“EWFVolumeConfiguration”中，选择受保护的卷的数量。

将覆盖级别的数量设置为1，将分区大小设置为0。

确保为每个受保护的卷输入磁盘号和分区号。

而且，选中StartEWFEnabled复选框。

有关所有字段的说明，请参阅WindowsXPEmbedded文档。

图3.配置基于RAM的覆盖

配置、生成映像并将其部署到设备。

您需要将驱动器分区，以便在该驱动器上的扩展分区中至少具有32KB的可用空闲空间（有关详细信息，请参阅上一部分中的附注）。

该空间将被EWF用于在前后两次启动之间存储RAM覆盖的配置数据。

启动设备。

在FBA期间，EWF将基于注册表中的设置配置本身。

它将创建一个最小的EWF分区来存储它的配置信息。

返回页首

EWF管理器应用程序

EWF管理器应用程序是一个用于管理设备上的EWF的控制台实用工具，。

它是一个可以添加到配置中的可选组件。

它使您可以控制EWF操作。

您可以通过发出以下命令来检查EWF状态：

Ewfmgr

EWF管理器显示类似于以下内容的结果：

OverlayConfiguration

VolumeSize2048030208

Segments8192

SegmentSize249856

Freesegments8192

MaxLevels3

MaxProtectedVolumes1

ProtectedVolumes1

Overlayvolumepercentfull0.00

Protectedvolumes

ArcPath"\Device\HarddiskVolume1"

您可以检查EWF卷和覆盖的状态，启用/禁用EWF，设置检查点，以及提交和回滚更改。

所有非状态命令都在下一次重新启动时生效。

有关每个命令及其用法的详细信息，请参阅WindowsXPEmbedded文档。

返回页首

EWF问题疑难解答

EWF在FBA过程中向FBAlog.txt文件报告错误。

在FBA已经完成之后，可以分析该文件，以了解有关EWF的状态的详细信息。

检查该信息，以确保EWF能够创建分区、创建正确的覆盖类型以及保护所需的卷。

创建EWF分区时失败

最常见的错误之一是在创建EWF分区时失败。

请确保在具有不到四个主分区的驱动器上，具有处于扩展分区中的可用空闲空间或者未分区的空间。

EWF将从该空间创建分区以存储配置信息。

就磁盘覆盖而言，该分区还将存储写入受EWF保护的卷的任何数据。

这分区或许可以在磁盘管理器中看到；但是，它将不具有驱动器号。

不停地重新启动

当FBA试图在已经包含以前的EWF分区的系统上配置EWF分区时，可能发生不停地重新启动这种情况。

这通常发生在开发场所中—在这里，反复使用同一系统进行开发和测试。

要解决该问题，请清除EWF分区。

这可以用以下命令完成：

Etprep/delete

写入EWF分区时出错

在写入受到EWF保护的分区时，可能得到以下错误信息：

DelayedWriteFailed.Windowswasunabletosavealldataforthefile

在用完EWF分区中的空间时，会发生这种情况。

增加EWF分区的大小（基于磁盘的覆盖）或者安装额外的内存（基于RAM的覆盖）将有助于避免该问题。

返回页首

成功技巧

下列主题讨论了一些与存储和磁盘卷有关的问题。

EWF通常需要由一些持久性存储进行支持

大多数EWF配置必须将一些存储分配给EWF。

即使对于RAM覆盖而言，也是如此。

这是因为EWF驱动程序需要在前后两次启动之间存储配置数据。

对于磁盘覆盖而言，该数据存储在覆盖分区中。

对于RAM覆盖而言，必须提供少量未分区的空间（大约32KB）。

对于只有单个受保护卷的RAM覆盖而言，存在例外。

在这种情况下，EWF分区可能在FBA完成之后删除。

这是为了适应诸如ElTorito和从闪存中启动之类的情况。

在这种情况下，设置被存储在注册表中。

EWF只支持由受保护的卷报告的可用空间数量

在基于磁盘和基于RAM的覆盖中，EWF只支持由基础的、受保护的卷报告的数据量的写入操作。

无论系统可用的空闲磁盘或RAM的数量如何，都是如此。

这是因为EWF假设数据可能必须在基础卷中持续保存。

从基于磁盘的覆盖所保护的EWF卷中启动要求使用EWFNTLDR

在从由基于磁盘的覆盖所支持的、受到EWF保护的卷中启动时，必须使用EWFNTLDR。

使用该组件而不是标准的NT加载程序（NTLDR）。

在从由基于RAM的覆盖所支持的受保护卷中启动时，不需要使用EWFNTLDR。

从ElToritoCD启动时不需要使用EWFNTLDR。

EWF只支持基本磁盘

EWF组件只能使用基本磁盘。

动态磁盘不受支持。

返回页首

小结

EnhancedWriteFilter为嵌入式开发人员提供了一种灵活的工具，以便防止卷被写入。

这使OS和其他需要读写媒体的软件无须修改即可操作。

它的灵活性使其可以在多种情况下使用，这包括从闪存、CDROM和只读磁盘中启动。

其他信息

有关详细信息，请参阅产品文档中的EnhancedWriteFilter或该MicrosoftWeb站点。

微软公司在其嵌入式系统中采用的EWF这个小工具，提供了一种保护卷以防止写入的手段。

这使操作系统（OS）可以从只读媒体（如CDROM、写保护硬盘或闪存）中启动。

所有对受到EWF保护的卷进行的写入都被重定向到覆盖。

这些写入被缓存在覆盖中并且作为卷的一部分提供。

这会产生该卷可写的表象。

覆盖可能存在于磁盘或随机访问内存（RAM）中。

如果需要，可以将覆盖中存储的数据提交给受保护的卷。

要理解EWF，需要引入“覆盖层”这一概念。

从逻辑上讲，覆盖层位于被保护卷的顶端，对被保护卷进行的所有读写操作首先到达覆盖层。

您不能对覆盖层下面的卷进行写入操作，但可以进行读取操作。

如果所需的信息不在覆盖层中，覆盖层将允许读取操作通过它从被保护的卷中进行读取。

那么，覆盖层位于什么位置呢？

在WindowsNTEmbedded4.0中（WINXP以上的系统），写入筛选器将所有内容都缓存在RAM中，这样将占用很多内存，当内存耗尽时，系统也就崩溃了。

与写入筛选器不同的是，EWF允许覆盖层位于RAM中或第二个卷上，例如，位于一个小的硬盘分区上。

那么，除了存储位置不同，还有哪些主要区别呢？

RAM覆盖层是临时的。

覆盖层在启动计算机时创建，当重新启动计算机时，覆盖层将丢失。

覆盖层的速度非常快，因为RAM访问要比磁盘访问快很多。

但是，RAM覆盖层的大小受不分页内存池大小的限制，而内存池的大小又因不同的计算机而异。

磁盘覆盖层在两次启动之间不会丢失，所以静态信息可以保存在覆盖层中。

这些信息也可以从覆盖层提交到基础介质中。

磁盘覆盖层比RAM覆盖层慢，因为磁盘覆盖层上进行的是磁盘写入交换。

覆盖层的大小由EWF卷的大小决定，而不是在目标设计器中指定。

两种覆盖层存在共同之处，即处于活动状态时都不允许对被保护介质进行写入操作。

两种覆盖层都可以动态启用或禁用，从而允许对被保护介质进行更新。

您可以在每个卷上设置多个覆盖层，在运行时分别对各个覆盖层进行控制。

为什么要使用EWF？

如果要从ElToritoCD-ROM启动，那么就没有别的选择，只有使用EWF才能保证系统的正常操作。

（正常的WindowsXP系统单是在启动时就要进行多次注册表写入操作。

）使用EWF，还可以保护启动卷，避免不必要的写入操作；增强系统的可靠性；或者保护系统卷，避免因可能的停电事故而造成损坏。

在下面要讨论的情况中，袖珍闪存设备从EWF中受益匪浅。

这是因为，在繁重的写入操作下，袖珍闪存会迅速损坏。

EWF可以避免闪存的所有写入操作，从而延长了闪存设备的寿命并能给在USB上运行的XP系统提速。

同时，开启EWF后，由于能防止对U盘的写入，还可以防止病毒的入侵。

当我们开启EWF后，任何对U盘的改动在重启后是无效的，因此，如果要进行驱动安装、应用软件的安装，应该运行关闭EWF命令并点击“保存后重启”后，方可进行安装。

全部装好相应的驱动和软件后，再开启EWF并点击“保存后重启”，即恢复对U盘的保护。

如果是移动硬盘并已经分区的，EWF则只能对第1分区进行保护。

根据EWF可防止对系统的写入的这个特性，已经有不少的朋友将其应用在本机硬盘的C盘系统的保护上，并不再装任何杀毒、防毒软件。

相信正确使用EWF是会可以给你带不少的惊喜的。

巧用微软EWF运行不明程序也不再害怕

出处：

家用电脑时间：

2011-12-01人气：

68我要提问我来说两句

核心提示：

有时候我们要运行一些来路不明的程序，可是又惧怕是病毒木马什么的，这个时候我们可以使用虚拟机来完成软件的运行，不过虚拟机的安装和设置比较麻烦，对于菜鸟来说，“影子系统”使用起来要比虚拟机方便得多，因为使用“影子系统”后，所有操作写入的数据都会存储在内存中，而不写入硬盘，只要电脑重启，数据就会被全部还原，这样即使不明程序是病毒木马也不用怕了。

　　其实Windows的东家微软公司也有自己的“影子系统”，只不过嵌入在别的软件中，没有引起大家的重视，下面就让我们来认识微软自己的“影子系统”——EWF。

　　编辑提示：

微软的“影子系统”也很强大

　　EWF全称是EnhancedWriteFilter，是微软FP2007嵌入式操作系统的一个组件，利用这个组件用户可以快速打造一个影子系统，使我们的系统免受病毒和木马的侵害。

当然，它和杀毒软件不同，EWF实现的是彻底还原，无论病毒多么狡猾，多么强大，在重启之后一样灰飞烟灭。

　　实践证明，微软原版影子系统比市面上的所有影子系统都要优秀，完全绿色免费，通过最底层重定向内存操作地址来达到影子系统的目的，无资源占用，相比市面上的一些影子系统会被病毒穿透的漏洞，EnhancedWriteFilter直接运用微软Windows操作系统最底层嵌入调用，这是其它影子系统无法比拟的优势，病毒根本无法穿透。

　　EWF的安装

　　首先下载EWF（下载地址：

▲EWF的工作原理示意图

　　重启完成后，双击运行D:

EWF文件夹中的TRUNON.bat文件，这时系统又会自动重启。

当下一次进入系统时，系统已经处于EWF的保护之中了。

EWF默认只对第一分区进行保护，也就是我们的C盘，如果我们想让EWF保护其他的分区，可以用记事本打开刚才运行的TRUNON.bat文件，将其中的“ewfmgrc:

-enable”修改为“ewfmgrd:

-enable”，保存后双击运行就可以了。

▲运行TRUNON.bat开启保护功能

　　EWF的使用

　　EWF安装完成后，我们如何得知其保护状态呢?

点击“开始”→“运行”，输入“cmd”运行“命令提示符”，输入命令：

“ewfmgrc:

”并回车，在回显信息的“state”这项中我们可以看到其状态为“ENABLED”，则说明EWF正在保护中。

“Type”这一项显示为“RAM”，也就是内存，说明我们所有的操作都会被存储在内存中，下次重启后所有写入的数据都会被还原。

▲C盘正处于保护中

　　下面我们简单试验一下，看看EWF的效果如何。

在桌面上新建一个test文件夹，然后重启，进入系统后我们会发现test不见了，说明EWF正在执行它的保护作用。

现在，无论我们怎么折磨系统，或者访问恶意网页，都已经无所谓，因为这一切在下次重启时就会还原。

现在我们可以尽情地使用电脑了。

　　更新保护内容

　　在平时使用电脑的过程中，难免会有一些数据资料需要保存，例如杀毒软件的病毒库、自动更新的补丁等，那么如何让EWF保存这些更新的数据呢?

方法很简单，双击D:

EWF文件夹中的save.bat，重启以后数据就会被保存下来了。

　　关闭EWF保护功能

　　EWF保护功能的关闭和开启同样简单，在命令提示符中输入“ewfmgrC:

-commitanddisable”命令并回车，就可以将EWF的保护功能关闭了。

　　编辑提示：

微软的“影子系统”也很强大

当然，它和杀毒软件不同，EWF实现的是彻底还原，无论病毒多么狡猾，多么强大，在重启之后一样灰飞烟灭。

　　EWF的安装

　　首先下载EWF（下载地址：

　　重启完成后，双击运行D:

EWF文件夹中的TRUNON.bat文件，这时系统又会自动重启。

当下一次进入系统时，系统已经处于EWF的保护之中了。

EWF默认只对第一分区进行保护，也就是我们的C盘，如果我们想让EWF保护其他的分区，可以用记事本打开刚才运行的TRUNON.bat文件，将其中的“ewfmgrc:

-enable”修改为“ewfmgrd:

-enable”，保存后双击运行就可以了。

EWF的使用

　　EWF安装完成后，我们如何得知其保护状态呢?

点击“开始”→“运行”，输入“cmd”运行“命令提示符”，输入命令：

“ewfmgrc:

”并回车，在回显信息的“state”这项中我们可以看到其状态为“ENABLED”，则说明EWF正在保护中。

“Type”这一项显示为“RAM”，也就是内存，说明我们所有的操作都会被存储在内存中，下次重启后所有写入的数据都会被还原。

　　下面我们简单试验一下，看看EWF的效果如何。

在桌面上新建一个test文件夹，然后重启，进入系统后我们会发现test不见了，说明EWF正在执行它的保护作用。

现在，无论我们怎么折磨系统，或者访问恶意网页，都已经无所谓，因为这一切在下次重启时就会还原。

现在我们可以尽情地使用电脑了。

　　更新保护内容

　　在平时使用电脑的过程中，难免会有一些数据资料需要保存，例如杀毒软件的病毒库、自动更新的补丁等，那么如何让EWF保存这些更新的数据呢?

方法很简单，双击D:

EWF文件夹中的save.bat，重启以后数据就会被保存下来了。

　　关闭EWF保护功能　　

　　EWF保护功能的关闭和开启同样简单，在命令提示符中输入“ewfmgrC:

-commitanddisable”命令并回车，就可以将EWF的保护功能关闭了

1、发现如果使用待机、休眠之类的模式，再重新开机，就容易出现类似非正常关机的选项！

2、好像批处理文件中“shutdown-r-f-t01”这个参数也容易导致非正常关机选项！

3、建议：

使用EWF软件后，正常开关机已经非常快了，因而不要使用待机、休眠之类的模式

删除windows\bootstat.dat

运行ewf目录下的save.bat

搞定:

victory:

安装好系统和软件—>下载解压缩附件中的压缩包—>双击setup,bat，自动重启—>OK，系统已经飞起来了～

参考

我在这里看到了EWF这个软件，使用后觉得很好，已经达到上瘾的地步了，呵呵。

来推荐给大家，顺带写一下我自己的配置过程，供大家参考

关于EWF

EWF（EnhancedWriteFilter）其实就是微软FP2007嵌入式操作系统的一个组件，被玩家提取出来，它被称为微软的“影子系统”。

关于出处我懒得去查了，这里有2个帖子MS是原创，即使不是他们提取出来了EWF，至少他们也是比较早开始使用EWF的网友了，呵呵

展开阅读全文