网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


挖掘微软金库 EWF让电脑变金刚不坏之身

2012-08-03 16:12 推荐: 浏览: 35 views 字号:

摘要: 题记:小编前日为大家分享了几个影子系统安全应用软件,有看到的网友高人留言,向小编推荐EWF,经查阅资料,发现EWF确实有许多优秀特性。这里为了能让更多的朋友看到这个好工具,撰文分享EWF,希望能给大家有所启发。 EWF的全称是Enhanced Write Fi...

题记:小编前日为大家分享了几个影子系统安全应用软件,有看到的网友高人留言,向小编推荐EWF,经查阅资料,发现EWF确实有许多优秀特性。这里为了能让更多的朋友看到这个好工具,撰文分享EWF,希望能给大家有所启发。

EWF的全称是Enhanced Write Filter (EWF),是微软嵌入式操作系统的一个组件,它被称为微软的“影子系统”。利用这个免费小巧的组件,可以非常容易地打造一个影子系统,让我们的系统在病毒、木马横行的网络环境中百毒不侵。

EWF 提供了一种保护卷以防止写入,EWF直接运用微软Windows操作系统最底层嵌入调用,这是其它影子系统无法比拟的优势,病毒根本无法穿透。使用EWF可以全盘或者选择分区保护,将所有的写操作全部过滤在内存中,从而有效保护硬盘。此外,重启电脑后,被保护分区数据将恢复原始状态(因为写的数据在内存中,不会直接写入硬盘)。

1、全面保护系统盘,不怕病毒侵袭

想要达到这种效果,首先要开启EWF保护,EWF默认情况下保护第一分区,当然也可进行设置对其他分区的保护。操作系统安装在C盘,并且浏览器也安装在C盘目录下,我们就可以放心上网了。如果一不小心访问了恶意网页,并被它在系统中做了手脚,别担心,重启系统后系统就会恢复原样,这一切都不复存在。因为此时恶意网页入侵的你的系统,不过是内存中的一个假象,并不会写入硬盘。

这对于进行病毒木马测试非常安全方便,不会有后顾之忧。特别是在一些公用电脑,或者家庭成员电脑水平比较低应用EWF保护,就能很好的保证系统的安全。比如我们可以进行一个测试,开始EWF保护后,在C盘新建任意一个文件,重启后再看,新建的文件是不是没有了。

2、有选择地保存写入,兼顾特殊需要

EWF默认每次进入系统都保护整个C盘,但有时我们要往C盘保存一些数据。比如,对于杀毒软件,我们升级后就要保存新病毒库数据。如何才能在不取消保护的情况下,把数据写入被EWF保护的分区呢?可按以下方法操作:

第一步:进入系统后,立刻联网升级病毒库。最好不要执行其他无关操作,这样才能保证写入的数据只是更新的病毒库数据。

第二步:病毒库升级完毕后,进入“D:\ewf”双击里面的save.bat,系统重新启动。这样在下次进入系统之前,EWF会把升级了的病毒库数据写入C盘。由于没有执行其他操作,这样保存的就只是病毒库文件。

第三步:重新进入系统后,第一分区仍然继续保护。如果要保存多个写入数据,可以依次执行完操作与最后再执行save.bat即可。这一方法同样适用于安装后需要重启的应用程序,这样重启后仍然可以使用安装的程序。

品牌:微软 操作系统

EWF 管理器应用程序控制EWF操作

EWF 管理器应用程序

EWF 管理器应用程序是一个用于管理设备上EWF 的控制台实用工具,它是一个可以添加到配置中的可选组件。它使您可以控制 EWF 操作。您可以通过发出以下命令来检查 EWF 状态:

Ewfmgr

EWF 管理器显示类似于以下内容的结果:

Overlay Configuration

Volume Size 2048030208

Segments 8192

Segment Size 249856

Free segments 8192

Max Levels 3

Max Protected Volumes 1

Protected Volumes 1

Overlay volume percent full 0.00

Protected volumes

Arc Path "DeviceHarddiskVolume1"

您可以检查 EWF 卷和覆盖的状态,启用/禁用 EWF,设置检查点,以及提交和回滚更改。所有非状态命令都在下一次重新启动时生效。有关每个命令及其用法的详细信息,请参阅 Windows Embedded Standard 7 文档。

作者:中关村在线 王宪阁 原文地址:http://safe.zol.com.cn/310/3101846_all.html

联系站长租广告位!

中国首席信息安全官