百毒不侵！將XP切換到防寫型態

EWF（Enhanced Write Filter，增強型寫入過濾器）是XP Embedded嵌入式系統中的一個強大組件，
$ G: g% s, d; B- K: f: Y它被稱為微軟牌的「影子系統」，不僅可以保護作業系統不中毒，讓硬碟減少損耗，也可加快你的系統，
/ N) ]/ \. k' z( o+ ^尤其當硬碟讀取寫入速度不快時最為明顯，可謂雙效合一的好功能！目前電腦系統的瓶頸，
正是卡在最末端的硬碟機I/O效能，而EWF把硬碟讀取轉移到RAM上便能達到加速效果。

而由於系統核心是在記憶體中執行，無論突然斷電、震動或是病毒入侵都不會對系統造成傷害，因為任何的變更都是在暫存的記憶體中執行，並未寫入硬碟之中，重開機（斷電）後不會留下痕跡，一切都回復原狀，所以即使中毒也沒有關係。而需要將變更的內容寫入儲存裝置時，也可暫時解除EWF保護，等寫入完成再變成唯讀系統。


. s( S: }, O, o* j; B* [

* ?, Q7 P/ u- M▲EWF的工作原理，就是把系統的變動都記錄在RAM上，而不寫入硬碟（除非使用者要求），所以能讓XP變成防寫的狀態。但是如果RAM本身不足夠的話，對於效能會有反效果。

6 f! B2 E; E: J1 u3 m9 K, x※EWF的應用方式簡介
EWF是什麼？簡單的說它就是讓磁碟變成「唯讀」、「防寫」狀態。EWF可以安裝在一般的硬碟上，讓你目前的作業系統變成唯讀保護；而你也可以利用多重開機工具，先在硬碟裡裝上第二個XP系統，再把EWF裝在這個系統上，如此一來即能保有平常工作用的系統，又有第二個分身影子系統做為測試環境。

( U! t% \+ B# P6 a) T  J. r當然囉，你也可以先把XP安裝在USB隨身碟上，並且設定讓它可在任何電腦上開機運作，然後再加上EWF，於是這支可攜式的XP隨身碟就會變成超強的救援工具，即使拿到其它電腦去開機、救檔，也不怕隨身碟裡的系統中毒或被更改。

不過把XP上裝了EWF後，預設都會禁止寫入檔案到系統裡頭，如果像防毒軟體要更新定義檔、或是你想永久安裝某個軟體進去時該怎麼辦？放心，EWF也可透過指令暫時解除保護，把記憶體的內容真正存入系統之中，非常具有彈性。
7 X/ M8 _: [* A/ i% f% a, q# |7 U' D
5 H% M& a* y/ c& e" x0 D- r) n※Note：
一般不會將自己平時工作用的系統裝上EWF，否則不小心你打的報告作業都沒有真正存檔。所以裝在第二個系統、或裝在USB XP隨身碟上是最好的應用。

而尤其，當XP系統裝在隨身碟上時，一般隨身碟的平均寫入速度都只有10MB/s或更低，會拖慢電腦整體效能。筆者實驗的2GB隨身碟由於寫入速度只有4MB/s，XP在上面的運行速度慘不忍睹。而藉由EWF元件可以讓隨身碟開機後把XP核心都載入到記憶體裡頭，透過減少硬碟寫入來保護硬碟、加快速度。這是在USB隨身碟、或CF卡上安裝作業系統的玩家必備的好工具，像EeePC就可以這樣應用，把XP裝在記憶卡又不拖慢速度。
+ O' @4 \; |! A$ a7 W0 [. Z4 g
$ N6 k2 d6 t5 n0 m' h※如何取得EWF：
EWF包含在微軟提供的「XPeSP2FeaturePack2007」工具套件中，可至「http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16958」
下載後，從裡面提取出 ewf.sys、ewfntldr 以及ewfmgr.exe 這 3 個小檔案來使用。

  ?- I8 Q6 v$ n7 g1 o

4 b4 ]4 a4 u" yEWF(Enhanced Write Filter)是另一個XP Embedded所提供的強大組件，只能說是超屌的"有夠厲害"，
( U! b. R6 p% I# X0 O7 t* R它不僅可以保護作業系統(說起來甚麼毒都不怕)，保護硬碟(或是其他儲存設備)還可以」非常明顯」的加速你的系統，
6 g2 }7 @2 F/ y- f0 [4 m" l尤其當硬碟讀取寫入速度不快時。之前實驗在2GB的隨身碟上安裝XP時，
由於該隨身碟並非Hi-Speed的讀取速度大概只有在10MB上下，當然寫入更是不要說了。

EWF有許多不同的作用，而我主要是拿來做」唯讀系統」，當然，需要的時候還是可以暫時讓他便」非唯讀」。
4 G& U+ \7 x0 I8 c9 b7 \開機速度沒甚麼影響，不過系統運作速度已經從」打開我的電腦要兩分鍾」進步到」用起來比7K2的HD順」，
而且還省下了一張還原卡!。相信許多在SD或CF卡上裝作業系統(XP)的玩家(eeepc玩家)都應該要試試看，
; h) X  f  x* [5 V1 A! @2 I尤其是USB隨身碟或是非高速記憶卡上裝的時候。除了加快速度以外，他更是保護系統的好幫手，
8 p; @8 f  p# A& F比甚麼還原精靈阿甚麼的都好用。
它可以在設定保護的磁碟機上加速並可以在關機前決定這個工作階段所對磁碟機上的」任何」檔案變更要不要保留。
, M9 B6 ^" P5 x- ]! n8 F! l

在您安裝EWF之前為了要確定能有最佳的效能，請先禁用分頁檔(虛擬內存)及系統還原。
在我的電腦上點右鍵>內容>進階>效能然後在虛擬內存的區域點更改並選擇禁用，我的電腦右鍵>內容>進階>系統還原>關閉系統還原。如果你用EWF啟動時XP一直出現要求還原，可以藉由刪除Windows
( ~1 H2 e# z; |) D% X目錄下的bootstat.dat來解決。
& \0 [% u" j. s要使用EWF你總共需要三個文件，分別是ewf.sys、ewfntldr以及ewfmgr.exe 這幾個檔案可以在和MinLogon
. q! e  N# F- p# S同樣的地方找到。或是密碼為網誌帳號，


! {7 W0 w8 W2 O% ?; P8 h- m1.
! ?2 W* E! q: U. X3 B, z' l# z把你系統根目錄下的ntldr檔案重新命名為ntldr.bak，如果看不到的話請在資料夾選項中勾選」顯示作業系統保護的檔案」



! C* @; B4 l/ `' d將ewfntldr複製到系統跟目錄並重新命名為ntldr
將ewfmgr.exe複製到Windows\System32 資料夾
7 c. K. b% B  I8 D0 |! A1 o將ewf.sys複製到 Windows\System32\drivers 資料夾
進入登錄表中照以下內容更改或是直接下載ewf.reg點擊後確認自動更改，出現權限的錯誤的話請參考下一點。

1. 
   + I9 `' D! ~8 x/ O4 L+ u3 R: X
2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction]
   0 F# W" ^1 L/ P1 c/ v3 ^
3. 
   7 }0 I6 O% r9 v5 y5 ], u5 c6 n
4. "Enable"="N"
   ! W9 H& \# o* Y# ^6 {
5. 
   
6. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OptimalLayout]
   0 w5 U6 R2 C+ g  N4 J
7. 
   ( X$ n7 u% ^) ]2 f
8. "EnableAutoLayout"=dword:00000000
   ; \2 x; v1 D' ~: C
9. 
   ! p4 \0 j* f% \" W  F
10. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
    
11. 
    ( ^. }, S8 R& T% n5 m! f6 z
12. "NtfsDisableLastAccessUpdate"=dword:00000001
      n7 j+ Q& E+ {5 V, v5 V: ~4 T
13. 
    
14. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
    
15. 
    
16. Management\PrefetchParameters]
    
17. "EnablePrefetcher"=dword:00000000
    
18. 
    9 P8 u, [* z+ x+ D+ `6 R4 C
19. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
    
20. 
    
21. BootExecute=""
    8 G8 l+ k# \$ P7 U4 B4 L
22. 
    ( z( T0 {' s5 Z1 ~
23. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF]
    3 M" B6 t+ a$ g, Z- M! H9 n
24. 
    0 ^* M! S' N5 I
25. "NextInstance"=dword:00000001
    
26. 
    
27. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]
    
28. 
    ) y4 R- ?5 X7 P
29. "Service"="EWF"
    
30. "Legacy"=dword:00000001
    
31. "ConfigFlags"=dword:00000020
    
32. 
    
33. "Class"="LegacyDriver"
    
34. 
    
35. "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    3 q, t5 l% j4 P* `6 X$ ~" P2 Z
36. "DeviceDesc"="EWF"
    # O! b! [3 u* h' e% b# X
37. 
    1 b) t$ `4 L1 o
38. "Capabilities"=dword:00000000
    
39. 
    2 ?6 ]- {: C' b/ e
40. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000\Control]
    
41. 
    5 }! |6 J; Q/ v
42. "ActiveService"="EWF"
    ; t4 i, g! X% m# P7 G+ j: {; P! h
43. 
    . S9 l2 s6 h3 g% H  j
44. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
    
45. 
    
46. "ErrorControl"=dword:00000001
    , V- F# }& C; o
47. "Group"="System Bus Extender"
    
48. 
    
49. "Start"=dword:00000000
    # g2 Z$ g* W- V1 f% s  m
50. "Type"=dword:00000001
    
51. 
    % Q+ y1 [( }+ [
52. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
    * z- e- S% F5 n( y& x9 d1 z
53. 
    % ]$ r# `0 M' I, b/ W2 e
54. "UpperFilters"="Ewf"
    
55. 
    " d4 j  Z  J- l. V2 o. Q
56. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0]
    . C* S+ F1 ^. b( \4 h9 r
57. 
    
58. "Type"=dword:00000001
    
59. "ArcName"="multi(0)disk(0)rdisk(0)partition(1)"

Copy

打開登入檔編輯器進入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root 在root上點右鍵，權限，將Everyone打勾
# V/ i+ O; y( J1 T如下圖，縮圖不清楚的話可以點進去看原圖
  K9 A- ]$ _$ c& ~

如果你是手動設定的請注意最後一個設定, ArcName.那個是用來決定要啟用EWF的磁區。
如果是使用ewf.reg的話預設是啟用第一個硬碟的第一個分割區，如果你要安裝的是系統的第一個(或是為一個)磁區就不用理它
前面幾個是針對」最少存取讀寫數」作的優化，也可以自己更改
% ]( M; K! _) I" }重新啟動
; F( n* f) T" @8 Q7 ?, y/ U) w- f2 f
- c7 d" R6 k8 o當系統重新啟動後，打開命令列式窗(執行>CMD)，並鍵「ewfmgr n:」 n是你設定啟動的磁碟機，基本上應該會是c，然後你應該會看到類似這樣的畫面
4 R9 X2 r! W, T2 W
! n9 x- ~0 a$ I, Z6 d
% s. y6 u& t& C. V

Protected Volume Configuration
Type RAM (REG)
( e5 w; g% h7 [6 zState ENABLED
) s/ g1 x! w6 @7 b% M! u0 @; FBoot
$ ^7 @. b2 r+ u  Q: p7 ?Command NO_CMD
' u* a$ E  w0 SParam1 0
Param2 0
Volume ID 87 0B 88 0B 00 7E 00 00
00 00 00 00 00 00 00 00
Device Name "\Device\HarddiskVolume1" [C:]
7 X6 O; W9 k/ zMax
* {" v- D) l6 J+ N0 GLevels 1
Clump Size 512
2 l3 v, T. r* q; a' `/ aCurrent Level 1
Memory used for data 1294336
bytes
Memory used for mapping 4096 bytes

如果出現的是是錯誤或是」no EWF volume could be find」，請打開登錄表編輯器並重新確定每一項設定，
: x  \# }. w9 S7 s( r3 W5 F並確定ewf.sys位於 Windows\System32\drivers 資料夾內後將USB儲存裝置暫時移除再重啟。
Ewfmgr 會提供你許多關於受保護磁區的資料和用掉的RAM。並請切記你對受保護磁區所做越多的改變就需要用掉更多的RAM。

& k4 m. @5 F4 S" {以下是幾個非常重要並且需要記起來的指令!
Ewfmgr C: -commit
-這個工作階段內所有的更動都會儲存
ewfmgr c: -commitanddisable –live
! z9 e0 @5 Q% \0 F0 G* v-這個指令會立刻將EWF停用並將目前的改變儲存
! ?4 l! l8 \' e8 aewfmgr c: -enable
2 E$ R0 B/ @: |4 f7 i( R- 這個指令會在下次重啟時啟動EWF
* h2 F% O0 ^9 \, x( K5 m
# K4 E  d7 y% L" y8 V如果你需要裝軟體，或是防毒軟體需要更新，標準程序就是在命令列視窗內鍵入ewfmgr C: -commit 並重新啟動。

2 V7 o1 ?; z$ N1 g0 R, S

二、用EWF保護系統

1.EWF程式的安裝
& V9 b1 V+ _, B9 ^# y  w2 l
　　EWF是微軟FP2007嵌入式作業系統的一個元件，如果在Windows XP下使用，我們首先可以到載它。程式下載後將它解壓縮到任意資料夾中即可。這是一個綠色程式，按兩下該資料夾中的setup.bat安裝批次檔，隨後程式打開一個“命令提示符”視窗並開始安裝。安裝完成系統會自動重啟。

2.開啟EWF的保護功能

! A3 f( P4 \5 V　　EWF安裝後，預設的情況下，EWF並沒有處於保護狀態，如果要開啟EWF的系統保護功能，我們可以在EWF資料夾下運行TRUN ON.bat檔，重啟後再進入系統就可以使用EWF進行系統保護了。
3 b* Q# Z/ T/ M: G# o
　　接著打開“命令提示符”視窗。隨後在命令提示符下鍵入“ewfmgr c:”命令（其中c:為分區盤符），在顯示的資訊清單中如果State項顯示為“enabled”表示EWF已經對C盤進行保護。如果顯示為disable則是禁用狀態，我們需要重新運行TRUN ON.bat文件。
$ L$ ~/ W; C" a. T5 g　　當C盤處於受EWF保護的狀態後，我們如果在C盤上安裝或刪除檔，下次重啟電腦後都將恢復到安裝或刪除之前的狀態。其實EWF也提供了一個保存功能，這樣在EWF保護狀態中，我們想升級病毒庫、安裝一些軟體或複製一些檔時，在操作完成後，運行EWF目錄下的Save.bat檔，系統重啟後，EWF會把升級了的病毒庫資料真正寫入C盤。
如果我們想關閉EWF的保護功能，我們只要運行EWF目錄中的TRUN OFF.bat檔即可。

  R: C2 z% R; P3.設置EWF全盤保護和其他分區保護功能
" \) Y3 O' z- f" J# ?1 q" _
# Z1 P; g% b/ V. W　　預設情況下EWF只保護系統磁碟分割，如果我們要進行全盤保護或設置其他分區保護時，我們只要對TRUN ON.bat進行簡單修改即可。
3 ^' s& j: Z( N& J: X
　　首先用記事本檔打開“TRUN ON.bat”檔，我們可以看到下面的語句。

6 O* R( Q! ?- b2 ~" {4 Dewfmgr c: -enable
shutdown -r -f -t 01

% m; \1 @) A2 q  a3 p! x　　這個語句表示對C分區進行保護。如果我們想保護其他分區時，如D盤，我們只要將這兩行語句複製到下面，並將“C:”修改為“D:”即可（圖2）。修改後，再次運行TRUN ON.bat，重啟電腦後就可以對C、D兩個分區同時保護了，以此類推。

怎麼樣，有了這個小小的EWF程式後，我們可以高枕無憂了，再也不怕病毒、木馬的騷擾了。