巧用微软EWF 运行不明程序也不再害怕

有时候我们要运行一些来路不明的程序,可是又惧怕是病毒木马什么的,这个时候我们可以使用虚拟机来完成软件的运行,不过虚拟机的安装和设置比较麻烦,对于菜鸟来说,“影子系统”使用起来要比虚拟机方便得多,因为使用“影子系统”后,所有操作写入的数据都会存储在内存中,而不写入硬盘,只要电脑重启,数据就会被全部还原,这样即使不明程序是病毒木马也不用怕了。

其实Windows的东家微软公司也有自己的“影子系统”,只不过嵌入在别的软件中,没有引起大家的重视,下面就让我们来认识微软自己的“影子系统”——EWF。

编辑提示:微软的“影子系统”也很强大

EWF全称是Enhanced Write Filter,是微软FP2007嵌入式操作系统的一个组件,利用这个组件用户可以快速打造一个影子系统,使我们的系统免受病毒和木马的侵害。当然,它和杀毒软件不同,EWF实现的是彻底还原,无论病毒多么狡猾,多么强大,在重启之后一样灰飞烟灭。

实践证明,微软原版影子系统比市面上的所有影子系统都要优秀,完全绿色免费,通过最底层重定向内存操作地址来达到影子系统的目的,无资源占用,相比市面上的一些影子系统会被病毒穿透的漏洞,Enhanced Write Filter直接运用微软Windows操作系统最底层嵌入调用,这是其它影子系统无法比拟的优势,病毒根本无法穿透。

EWF的安装

首先下载EWF(下载地址:http://www.cbifamily.com/download/201123.html),把它解压到一个非系统分区。如果你的系统安装在C盘,那么就把它解压到D:EWF。双击其中的setup.bat开始安装。需要注意的是EWF安装结束后系统会自动重启,因此在安装前一定要保存好数据。



▲EWF的工作原理示意图

重启完成后,双击运行D:EWF文件夹中的TRUN ON.bat文件,这时系统又会自动重启。当下一次进入系统时,系统已经处于EWF的保护之中了。EWF默认只对第一分区进行保护,也就是我们的C盘,如果我们想让EWF保护其他的分区,可以用记事本打开刚才运行的TRUN ON.bat文件,将其中的“ewfmgr c: -enable”修改为“ewfmgr d: -enable”,保存后双击运行就可以了。



▲运行TRUN ON.bat开启保护功能

EWF的使用

EWF安装完成后,我们如何得知其保护状态呢?点击“开始”→“运行”,输入“cmd”运行“命令提示符”,输入命令:“ewfmgr c:”并回车,在回显信息的“state”这项中我们可以看到其状态为“ENABLED”,则说明EWF正在保护中。“Type”这一项显示为 “RAM”,也就是内存,说明我们所有的操作都会被存储在内存中,下次重启后所有写入的数据都会被还原。



▲C盘正处于保护中

下面我们简单试验一下,看看EWF的效果如何。在桌面上新建一个test文件夹,然后重启,进入系统后我们会发现test不见了,说明EWF正在执行它的保护作用。现在,无论我们怎么折磨系统,或者访问恶意网页,都已经无所谓,因为这一切在下次重启时就会还原。现在我们可以尽情地使用电脑了。

更新保护内容

在平时使用电脑的过程中,难免会有一些数据资料需要保存,例如杀毒软件的病毒库、自动更新的补丁等,那么如何让EWF保存这些更新的数据呢?方法很简单,双击D:EWF文件夹中的save.bat,重启以后数据就会被保存下来了。

关闭EWF保护功能

EWF保护功能的关闭和开启同样简单,在命令提示符中输入“ewfmgr C: -commitanddisable”命令并回车,就可以将EWF的保护功能关闭了。

(0)

相关推荐

  • 取消win7运行安装程序出现阻止窗口的方法

    相信很多win7系统用户,在运行某些安装程序时,系统自动弹出阻止运行的窗口对话,同时还提示该程序可能存在风险的问题,这时用户即选择继续或取消运行程序,对于win7系统下出现该问题,并不是所有程序都是不安全的,其实主要是原因是程序没有申请或者没有通过微软验证,如果你不想在安装程序时,让win7提示该窗口,那么我们可通过对安全级别进行调整,从而取消该出现窗口! 操作方法: 1.在开始菜单中打开控制面板,点击用户和家庭安全,再点击用户帐户; 2.接下来点击"更改用户帐户控制设置"选项; 3.

  • Win8运行某个程序弹出"Runtime Error"警告提示怎么办

    不知道有没有用户和小编遇到同样的问题:Win8系统下,在运行某个程序或是打开浏览器访问网页的时候,突然弹出了“runtime Error”的警告,提示“this application has requested the runtime to terminate it in an unusual way. please contact the aplication‘s support team for more information.”这该怎么办? Win8弹出“Runtime

  • Windows7 msinfo32命令查看后台运行的程序

    如果你是Windows 7的用户,你就可以通过一个系统内置的命令查看更多、更详细的,当前正在运行的程序,这其中就包括一部分具有“流氓软件”特质的,在后台偷偷运行的程序(进程)。 在介绍方法前,请大家对比图1和图2:  图1是Windows 7系统的任务管理器,图2是使用Windows 7内置命令打开的系统信息的部分信息。图2的信息时如何调用出来的呢? 还记得笔者之前跟大家说过的“msinfo32”命令吗?(不记得了?请点击这里查看)使用“msinfo32”命令调用出系统信息后,

  • 用Start命令来实现在Windows XP中运行DOS程序

    在WindowsXP的命令提示符中输入:start /seperate要运行的程序,即可运行相应的DOS程序。其中参数separate的作用是在单独的内存空间启动16位程序,而用参数shared则是在共享的内存空间启动16位程序。当DOS程序运行后我们还可按“Alt+Enter”键在全屏幕与窗口之间进行切换。 将系统升级为WindowsXP,但是一些旧版软件需要在DOS下运行,而WindowsXP中已经没有纯DOS了,我们可以用Start命令来解决这个问题 Start命令的使用格式是:Start

  • WinPE下不用安装.NETFramework也能运行.Net程序

    在一些情况下在PE运行需要安装.NETFramework环境的程序,那么究竟在PE下能否安装它呢?如果能,又是怎么来安装呢? 其实在PE下是不用安装.NETFramework也能运行.Net程序的,相当简单,只需用到软件DotNetBox3.5。 首先下载DotNetBox3.5。 1、点击文件下载链接。进入后,点击页面中部表格中的“Free”,选择免费下载模式。 2、点击“Free”后,进入下载页面,需等待几秒,显示验证码,填入框内,点“Downlaod …”,即可下载。注意rapidshar

  • WinPE下要运行.Net程序怎么办

    在一些情况下在PE运行需要安装.NETFramework环境的程序,那么究竟在PE下能否安装它呢?如果能,又是怎么来安装呢? 其实在PE下是不用安装.NETFramework也能运行.Net程序的,相当简单,只需用到软件DotNetBox3.5。 首先下载DotNetBox3.5。 1、点击文件下载链接。进入后,点击页面中部表格中的“Free”,选择免费下载模式。 2、点击“Free”后,进入下载页面,需等待几秒,显示验证码,填入框内,点“Downlaod …”,即可下载。注

  • Win8.1系统无法运行Java程序的解决办法

    部分Win8.1系统用户发现在使用Java程序时,页面上留块空白和一个黑黑的叉叉,或者干脆无法运行程序。下面系统之家小编就为大家介绍一下Win8.1系统无法运行Java程序的解决办法! 1.确定你已经安装了Java; 2.确定你的IE已经启用了JAVA插件。IE选项->程序->管理加载项:【JAVA SE Runtime Enviroment】启用; 3.打开JAVA控制面板确认【启用浏览器中的JAVA内容】是否已勾选。计算机->控制面板->程序->JAVA-

  • Hadoop集群运行JNI程序

    要在Hadoop集群运行上运行JNI程序,首先要在单机上调试程序直到可以正确运行JNI程序,之后移植到Hadoop集群就是水到渠成的事情。 Hadoop运行程序的方式是通过jar包,所以我们需要将所有的class文件打包成jar包。在打包的过程中,无需将动态链接库包含进去。 在集群中运行程序之前,Hadoop会首先将jar包传递到所有的节点,然后启动运行。我们可以在这个阶段将动态链接库作为附件和jar包同时传递到所有的节点。方法就是给jar命令指定-files参数。命令如下: hadoop ja

  • Windows 8如何在Metro界面下打开后台运行的程序

    操作步骤: 一、手势触摸 在屏幕的左边框位置向右滑动,即可拖出后台运行的程序。 二、鼠标操作 鼠标移动到左上角即可出现一个栏,里边是打开的所有程序,点击相应的程序即可。 备注: 备注:按windows键可以在最近打开的两个程序之间切换。