《Windows两种写保护机制的区别与影响》由会员分享,可在线阅读,更多相关《Windows两种写保护机制的区别与影响(16页珍藏版)》请在金锄头文库上搜索。
1、文档编写规范Fbwf 与与 Ewf 初步研究初步研究2012/11/1文档编写规范北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.1目录目录FBWF 与与 EWF 简介简介.21.1FBWF 介绍.21.2 EWF 介绍.51.3 FBWF 同 EWF 的区别.112 试验和初步结论试验和初步结论 .132.1 FBWF DISABLE情况下 .132.2 FBWF 和 EWF 相互作用情况下.142.3 初步结论.15文档编写规范北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.2FBWF
2、与与 EWF 简介简介FBWF(File Based Write Filter)是微软在 Windows XP Embedded SP2 Feature Pack 2007 及以后版本中推出的最新写保护技术。在 FBWF 写保护功能开启 时,所有的写入操作都被重定向到内存上的一个区域中,这个内存区域称之为覆盖 层 (overlay),这点同 EWF(Enhanced Write Filter)中的覆盖层的概念相同,不同 的是 FBWF 的覆盖层只能支持内存方式,而 EWF 则能支持内存和磁盘两种方式。1.1 FBWF 介绍介绍什么是 FBWF: FBWF(File Based Write Fi
3、lter)是微软在 Windows XP Embedded SP2 Feature Pack 2007 及以后版本中推出的最新写保护技术,FBWF 能够 将处于保护状态的卷的所有写入操作重新定向到一块内存区域,这块内存区域被称 作覆盖层。覆盖层类 似于存储介质的一个投影,对存储介质做的任何写操作都将映 射到覆盖层中,而这种操作对于用户而言是透明的,即我们看到的最终内容则是存 储介质和覆盖层的叠 加(见 FBWF 复合视图)。另外我们能够对覆盖层中的数据进行 操作,比如提交(Commit)、恢复(Restore)、.等。FBWF 工作过 程如下图所示:FBWF Overview 图 文档编写规范
4、北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.3FBWF 复合视图文档编写规范北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.4由于 FBWF 正是针对文件级别设计的,它能够 智能地针对文件、文件夹或者任何 文件系统数据结构进行过滤,有效地达到了保护文件系统的目的。现在,为了将对 文件系统的保护提高到文件级别,开发人员需要告诉 FBWF 哪些文件或文件夹是需要 被保护的,以及哪些是不需要保护的。我们通过一个被称之为 “写入列表”的表格 来完成这项功能。这张表格允许 FBWF 绕开目录以及保
5、护卷对文件的控制,通过 FBWF 直接在磁盘存储介质上进行操作。假设一个用户频繁 地下载和保存视频文件,那么 设备的存储介质目录将会被配置为“可写入的”,并允许文件在系统重新启动后仍 然可以被访问。一些典型的可写入列表包括日志文件 和系统事件文件。 FBWF 另外一个有用的特性是能够实时提交文件。当操作系统正在运行当中,文 件可以被提交到磁盘上的。综上所述,FBWF 的写入保护在嵌入式设备上是文件级别的,这一点不同于增强的 写入过滤器(EWF)对嵌入式设备存储器的 扇区级别保护。这一点让 FBWF 可以在新 的应用场景下工作,比如针对服务应用文件或是系统文件的保护,而不用对整个磁 盘进行保护。
6、FBWF 控制台命令在 XPE 映象配置中添加了 File Based Write Filter 组件后会向系统中添加 4 个文 件:fbwf.sys、fbwfdll、fbwflib.dll、fbwfmgr.exe。其中 fbwfmgr.exe 是 FBWF 的一个控制台命令执行程序,它允许我们在运行时通过命令行的方式对 FBWF 进行设 置和操作。fbwfmgr.exe 的语法格式是:fbwfmgr /? | /help /switch | /displayconfig | /overlaydetail | /enable | /disable | /addvolume volumename
7、 | /removevolume volumename 1|0 |/addexclusion path | /removeexclusion path | /setthreshold threshold | /setcompression 1|0 | /setpreallocation 1|0 /commit volumename filepath /restore volumename filepath 具体参数的含义解释:displayconfig:显示所有的被保护卷的配置信息, 覆盖层配置及可以写入的文件及文件夹路径。overlaydetail:显示所有被保护卷的覆盖层内容明细,该命令返
8、回: Contents:当前所有保护卷中的文件和文件夹的尺寸和打开的文件句柄。文档编写规范北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.5Memory Usage:覆盖层占用的内存总数。enable: 在重新启动计算机后开启 FBWF 写保护功能。disable:在重新启动计算机后关闭 FBWF 写保护功能。addvolume:添加一个卷为 FBWF 保护卷,该操作在下次重新启动后生效。removevolume:移除一个 FBWF 的保护卷,该操作在下次重新启动后生效。addexclusion:在 FBWF 的保护卷上添加一个可写入的文件或
9、者文件夹路径,该操作在下次重新启动后生效。removeexclusion: 在 FBWF 的保护卷上移除一个可写入的文件或者文件夹路径,该操作在下次重新启动后生效。setthreshold:设置覆盖层占用的内存尺寸,该操作在下次重新启动后生效。setcompression:设置覆盖层类型为启用压缩(enabled (1))或者关闭压缩(disabled (0)) ,该操作在下次重新启动后生效。setpreallocation:设置覆盖层类型为预分配(enabled (1))或者关闭预分配(disabled (0)) ,该操作在下次重新启动后生效。commit:提交覆盖层的内容到真实的磁盘或媒体
10、。卷名称可以是磁盘号(例如, “C:“ or “D:“)或者设备名称(例如, DeviceHarddiskVolume1)。注意,名称不能是卷标。文件路径必须是一个使用“”开始的绝对路径。而且卷表必须是当前被保护的。否则,会出现以下的错误提示信息:“The system cannot find the drive specified“ 。restore: 丢弃对文件修改的内容,使文件还原到初始的状态。即原始磁盘中文件的存储状态。卷名称可以是磁盘号(例如, “C:“ or “D:“)或者设备名称(例如, DeviceHarddiskVolume1)。注意,名称不能是卷标。文件路径必须是一个使用“
11、”开始的绝对路径。而且卷表必须是当前被保护的。否则,会出现以下的错误提示信息: “The system cannot find the drive specified“ 。?:显示帮助信息和用法。help / switch:显示指定命令的帮助信息。如果在 fbwfmgr 后面没有任何参数,则显示所有的被保护卷的配置信息, 覆盖层配置及可以写入的文件及文件夹路径。和输入 fbwfmgr displayconfig 效果是一样的。文档编写规范北京云端时代科技有限公司Beijing Cloud Times Technology Co。Ltd.61.2 EWF 介绍介绍EWF(Enhanced Wri
12、te Filter)是微软 Windows XP Embedded 中提供的重要嵌入式特 性,在 EWF 写保护功能开启时,所有的写入操作都被重定向到磁盘(基于 DISK)或内 存(基于 RAM)一个区域中,这个区域称之为覆盖层覆盖层(overlay)(overlay), 这里的覆盖层与 FBWF(File Based Write Filter)中的覆盖层的概念相同,不同的是 FBWF 的覆盖 层只能支持基于内存的方式,而 EWF 则能支持基于内存和基于磁盘两种方式。本文 将介绍什么是 EWF 及其功能、EWF 详细配置、EWF 控制台命令、EWF Apis、EWF 优缺 点等内容。一、什么是
13、一、什么是 EWFEWF要正确理解 EWF 技术,首先要了解一下覆盖层(overlay)的概念。简单讲覆盖层 就是一块存储数据的区域,覆盖层在理论上是置于被保护卷的上方,在开 启保护过 滤功能时所有针对保护卷的读写操作都要经过覆盖层。当有针对保护卷的写入操作 时先将数据缓存记录到覆盖层中,当产生读取数据请求时叠加存储设备和 覆盖层的 数据一并呈现给用户。这样所有的操作对用户而言都是透明的。EWF(Enhanced Write Filter)提供了一种保护卷以防止写入的手段。这使操作系 统 (OS) 可以从只读媒体(如 CD ROM、写保护硬盘或闪存)中启动。所有对受到 EWF 保护的卷进行的写入都被重定向到覆盖层。这些写入被缓存在覆盖中并且作为卷 的一部分提供。这会产生该卷可写的表象。覆盖可能存在于磁盘或随机访问内 存
