Windows两种写保护机制的区别与影响.docxVIP

Fbwf与Ewf初步研究2012/11/1FBWF与EWF简介FBWF（File Based Write Filter）是微软在Windows XP Embedded SP2 Feature Pack 2007及以后版本中推出的最新写保护技术。在FBWF写保护功能开启时，所有的写入操作都被重定向到内存上的一个区域中，这个内存区域称之为覆盖层 (overlay)，这点同EWF(Enhanced Write Filter)中的覆盖层的概念相同，不同的是FBWF的覆盖层只能支持内存方式，而EWF则能支持内存和磁盘两种方式。FBWF介绍?? 什么是FBWF:?FBWF（File Based Write Filter）是微软在Windows XP Embedded SP2 Feature Pack 2007及以后版本中推出的最新写保护技术,FBWF能够将处于保护状态的卷的所有写入操作重新定向到一块内存区域，这块内存区域被称作覆盖层。覆盖层类 似于存储介质的一个投影，对存储介质做的任何写操作都将映射到覆盖层中，而这种操作对于用户而言是透明的，即我们看到的最终内容则是存储介质和覆盖层的叠 加(见FBWF复合视图)。另外我们能够对覆盖层中的数据进行操作，比如提交(Commit)、恢复(Restore)、......等。FBWF工作过 程如下图所示：FBWF Overview图??FBWF复合视图?? 由于FBWF正是针对文件级别设计的，它能够 智能地针对文件、文件夹或者任何文件系统数据结构进行过滤，有效地达到了保护文件系统的目的。现在，为了将对文件系统的保护提高到文件级别，开发人员需要告诉FBWF哪些文件或文件夹是需要被保护的，以及哪些是不需要保护的。我们通过一个被称之为 “写入列表”的表格来完成这项功能。这张表格允许FBWF绕开目录以及保护卷对文件的控制，通过FBWF直接在磁盘存储介质上进行操作。假设一个用户频繁 地下载和保存视频文件，那么设备的存储介质目录将会被配置为“可写入的”，并允许文件在系统重新启动后仍然可以被访问。一些典型的可写入列表包括日志文件 和系统事件文件。???? FBWF另外一个有用的特性是能够实时提交文件。当操作系统正在运行当中，文件可以被提交到磁盘上的。???综上所述，FBWF的写入保护在嵌入式设备上是文件级别的，这一点不同于增强的写入过滤器（EWF）对嵌入式设备存储器的 扇区级别保护。这一点让FBWF可以在新的应用场景下工作，比如针对服务应用文件或是系统文件的保护，而不用对整个磁盘进行保护。?FBWF控制台命令?在 XPE映象配置中添加了File Based Write Filter组件后会向系统中添加4个文件：fbwf.sys、fbwfdll、fbwflib.dll、fbwfmgr.exe。其中 fbwfmgr.exe是FBWF的一个控制台命令执行程序，它允许我们在运行时通过命令行的方式对FBWF进行设置和操作。fbwfmgr.exe的语法格式是：fbwfmgr [/? | /help /[switch] | /displayconfig | /overlaydetail | /enable | /disable | /addvolume [volumename] | /removevolume [volumename] [1|0] |/addexclusion [path] | /removeexclusion [path] | /setthreshold [threshold] | /setcompression [1|0] | /setpreallocation [1|0] /commit [volumename] [filepath] /restore [volumename] [filepath] ]具体参数的含义解释：displayconfig：显示所有的被保护卷的配置信息,?覆盖层配置及可以写入的文件及文件夹路径。overlaydetail：显示所有被保护卷的覆盖层内容明细，该命令返回: Contents：当前所有保护卷中的文件和文件夹的尺寸和打开的文件句柄。Memory Usage：覆盖层占用的内存总数。enable: 在重新启动计算机后开启FBWF写保护功能。disable：在重新启动计算机后关闭FBWF写保护功能。addvolume：添加一个卷为FBWF保护卷，该操作在下次重新启动后生效。removevolume：移除一个FBWF的保护卷，该操作在下次重新启动后生效。addexclusion：在FBWF的保护卷上添加一个可写入的文件或者文件夹路径，该操作在下次重新启动后生效。removeexclusion: 在FBWF的保护卷上移除一个可写入的文件或者文件夹路径，该操作在下次重新启动后生效。s