好多人遮着掩着...

原理就是利用了微软FP2007嵌入式操作系统的一个组件　ＥＷＦ中的一次休眼多次快速启动。

以下部份资料来源于一个台湾的ＢＬＯＧ中，我整理收集了相关软件，版权归原作者所有。

EWF(Enhanced Write Filter)其实就是微软FP2007嵌入式操作系统的一个组件，它被称为微软的“影子系统”。利用这个免费小巧的组件，可以非常容易地打造一个影子系统，让我们的系统在病毒、木马横行的Internet中百毒不侵。



一、前期准备

　　1、安装

　　下载EWF压缩包，并把它解压到一个非系统分区，比如E:\ewf。然后双击setup.bat进行安装，或者在命令提示符下输入如下命令也可：

　　E:

　　cd ewf

　　setup.bat

　　安装完成系统会自动重启。(图1)

描述:1.jpg

2、运行

　　系统重启后，单击“开始→运行”，输入“E:\ewf\TRUNON.bat”(也可直接双击该文件)开启EWF保护，然后系统会立刻重新启动，重启后进入系统就可以使用EWF保护了。默认情况下保护第一分区，当然也可进行设置对其他分区的保护。(图2)

描述:2.jpg

3、查看

　　Ewf提供对原版系统的保护，如果你的系统是精简版可能会出现无法保护的情况。要查看EWF是否启用，可在命令提示符下输入“ewfmgr c:”，可以看到EWF使用RAM，保护状态为enable(打开，如果显示为disable则是禁用状态，请检查上述操作是否有误)，保护的分区是C盘，EWF所有写入操作重定向到内存(图3)。

描述:3.jpg

提示：如果要取消保护，可以在运行对话框中输入“ewfmgr C: -commitanddisable”按回车键执行，接着重启即可关闭EWF保护。Ewfmgr还有很多参数，大家可以输入“ewfmgr /?”查看。

　　二、实战演练

　　1、全面保护系统盘，彻底拒绝病毒侵袭

　　确保你的系统安装在C盘，并且浏览器也安装在C盘目录下，这时按上述方法开启EWF保护后，我们就可以放心上网了。如果一不小心访问了恶意网页，并被它在系统中做了手脚，别担心，重启系统后系统就会恢复原样，这一切都不复存在。因为此时恶意网页入侵的你的系统，不过是内存中的一个假象，并不会写入硬盘。

　　这对于进行病毒木马测试非常安全方便，不会有后顾之忧。特别是在一些公用电脑，或者家庭成员电脑水平比较低应用EWF保护，就能很好的保证系统的安全。比如我们可以进行一个测试，开始EWF保护后，在C盘新建任意一个文件，重启后再看，新建的文件是不是没有了。(图4)

描述:4.jpg

2、有选择地保存写入，兼顾特殊需要

　　由于EWF默认每次进入系统都保护整个C盘，但有时我们要往C盘保存一些数据。比如，对于杀毒软件，我们升级后就要保存新病毒库数据。如何才能在不取消保护的情况下，把数据写入被EWF保护的分区呢?可按以下方法操作：

　　第一步：进入系统后，立刻联网升级病毒库。最好不要执行其他无关操作，这样才能保证写入的数据只是更新的病毒库数据。

　　第二步：病毒库升级完毕后，单击“开始→运行”，输入“e:\ewf\save.bat”，系统重新启动。这样在下次进入系统之前，EWF会把升级了的病毒库数据写入C盘。由于没有执行其他操作，这样保存的就只是病毒库文件。

　　第三步：重新进入系统后，第一分区仍然继续保护。如果要保存多个写入数据，可以依次执行完操作与最后再执行save.bat即可。这一方法同样适用于安装后需要重启的应用程序，这样重启后仍然可以使用安装的程序。(图5)

描述:5.jpg

3、一次休眠操作后，让系统快速启动

　　首先在命令行下输入命令“ewfmgr c:”确认EWF处于打开状态，然后输入命令

　　“ewfmgr c: -activatehorm”对系统进行休眠操作。这样系统重启后就可以实现快速启动了，这时你无论是断电，复位，强行关机等操作均无效，只能从休眠状态快速启动。

　　如果要取消快速启动在命令行下依次输入下列命令即可：

　　ewfmgr c: -disable

　　ewfmgr -deactivatehorm

　　shutdown -r -t 1

描述:6.jpg

总结：其实EWF只是微软FP2007嵌入操作系统的一个组件，它还有很多的功能，有待于大家在实际操作中践去挖掘。

大家实验的时候，请安装完整版ＷＩＮＤＯＷＳ操作系统，以免遇到未知错误．　





软件可以到下面下载

没人顶！？

都是电脑菜鸟`不会！？