微软的免费“影子系统”——EWF(图)_1

EWF(Enhanced Write Filter)其实就是微软FP2007嵌入式操作系统的一个组件，它被称为微软的“影子系统”。利用这个免费小巧的组件，可以非常容易地打造一个影子系统，让我们的系统在病毒、木马横行的Internet中百毒不侵。

下载地址：http://abc6.cn/download/index.php?dirpath=./还原工具&order=0 

一、前期准备

1、安装

下载EWF压缩包，并把它解压到一个非系统分区，比如E:\ewf。然后双击setup.bat进行安装，或者在命令提示符下输入如下命令也可：

E:
cd ewf
setup.bat

安装完成系统会自动重启。(图1)

2、运行

系统重启后，单击“开始→运行”，输入“E:\ewf\TRUNON.bat”(也可直接双击该文件)开启EWF保护，然后系统会立刻重新启动，重启后进入系统就可以使用EWF保护了。默认情况下保护第一分区，当然也可进行设置对其他分区的保护。(图2)

3、查看

Ewf提供对原版系统的保护，如果你的系统是精简版可能会出现无法保护的情况。要查看EWF是否启用，可在命令提示符下输入“ewfmgr c:”，可以看到EWF使用RAM，保护状态为enable(打开，如果显示为disable则是禁用状态，请检查上述操作是否有误)，保护的分区是C盘，EWF所有写入操作重定向到内存(图3)。

提示：如果要取消保护，可以在运行对话框中输入“ewfmgr C: -commitanddisable”按回车键执行，接着重启即可关闭EWF保护。Ewfmgr还有很多参数，大家可以输入“ewfmgr /?”查看。

二、实战演练

1、全面保护系统盘，彻底拒绝病毒侵袭

确保你的系统安装在C盘，并且浏览器也安装在C盘目录下，这时按上述方法开启EWF保护后，我们就可以放心上网了。如果一不小心访问了恶意网页，并被它在系统中做了手脚，别担心，重启系统后系统就会恢复原样，这一切都不复存在。因为此时恶意网页入侵的你的系统，不过是内存中的一个假象，并不会写入硬盘。