EWF-微软的“影子系统”

作者：宝贝

转自：http://blog.163.com/wwwghks@126/blog/static/530065472012923103348455/点击打开链接

第1页：盖过虚拟内存 EWF系统再创福利

　　目前很多人对于固态硬盘的读写寿命感到担忧，且也在考虑是否通过利用虚拟硬盘来缓解BT下载对固态硬盘造成的压力。与此同时一项在XP时代曾被人使用过的“增强写过滤（EWF）”再次被提起，且对于固态硬盘来讲似乎其存在的意义更为明确。

　　固态硬盘的读写寿命弊病是一个老生常谈的话题，很多入门消费者会问“SSD可靠么？能用2年么？”，类似这样的顾虑在各大硬件论坛上数不胜数，人们也想尽办法来尽量减少固态硬盘的读写损耗，所以仓库盘越来越多，人们陷入了一个买的起用不起的境界…



完胜虚拟硬盘 EWF再创存储寿命福利

　　利用内存容量来提高系统运行效率的办法一直存在弊病，例如虚拟硬盘，扩大缓存空间的同时，不能有效的保存数据使其无法真正的硬件系统所接受。EWF通过覆盖整个盘符来达到系统启动，读取，写入几乎全部依靠内存空间的来完成的技术特点，现在拿来一讲也许会为我们提供一些新的思路。



EWF系统是和RAMdisk虚拟硬盘拥有一样的特点么?

　　对于硬盘寿命的解决方案似乎都显得有些鸡肋，很难找到一项技术来解决机械硬盘的磁头耗损与固态硬盘的反复读写问题，笔者暂且说它是一个“问题”吧，只不过人们担忧的到底是心病还是硬盘夭折事件真的有那么惊人。

　　围绕着存储产品话题的一直是性能、寿命、安全，EWF增强写过率技术除了可以缓解读写压力和提高开机效率以外，还能够绝对有效的保护指定盘符的数据安全，在如此诱人的概念却为何没有能够走进人们的视线呢？EWF和虚拟硬盘相比，其最大的区别究竟又是在哪里呢？笔者将带您走进这项“增强读写过滤技术”的世界。

　　第2页：影子系统：EWF增强写过率技术

　　我们可以从维基百科中看到详细的关于Enhanced Write Filter增强写过率技术的定义。这项曾被微软评为“影子系统”的保护写入手段，为固定存储工具提供了极大的续写磨损缓解与完美的数据保护，例如网吧和公共计算机。

　　白话定义EWF

　　EWF增强型写入过滤在最早是为了缓解Flash介质的存储媒体写操作负担，从而提升产品存储器的使用寿命。后来由于其不能应用于所有的存储介质而渐渐被人忽略。而今被人们再次发现修改注册表可以将其应用到更广泛的产品中时，也认为其可以在一定程度上缓急固态硬盘以及机械硬盘的读写操作。

　　EWF通俗来讲就是拒绝写入，使系统通过只读设备启动（例如内存），这样就对所要保护的盘符进行覆盖，所有的写入数据都会保存到只读设备中。如下图所示：



EWF从保护卷写入数据演示

　　其覆盖方式目前来讲有两种，一种为磁盘覆盖，一种为内存覆盖。我们在前文中说道了针对目前家用机内存容量较高，所以我们今天讲诉的覆盖方式主要是针对RAM覆盖。其在小量加快系统启动速度的同时，100%的解决了病毒或者非法文件侵略系统盘的危险，而且最大的优势就是能够降低存储设备的读写耗损。



EWF从保护卷读取数据演示

　　如果只针对系统盘保护，那么EWF可行性就比较高，通过对上图读取数据的理解，我们能够发现覆盖层本身承受着很大一部分的压力，所有写入到系统盘内部的数据将通过覆盖层存储或者利用，这和虚拟硬盘提升缓存加大系统速度有一定的相似度。

　　但通过读取演示我们也能够看到，拿开机举例，如果数据来自于磁盘本身，那么通过覆盖层（内存）来运行系统启动就是不可行的。所以读者朋友不要理解为EWF技术可以由内存的速率来启动计算机，其最大程度只能够负担一部分保护盘的读取压力，最大的任务仍然是限制数据写入。

　　第3页：Win7/64位EWF系统制作步骤一

　　大体了解了EWF技术的概念后，笔者将带大家一起来安装此写保护系统，文章本意并不是说明EWF是最好的解决硬盘读写寿命的方法，其只是一种可行的路径，到底效果如何，我们继续往下看。

　　笔者强烈建议用户使用此写过滤系统至少拥有4GB以上的内存空间，当然内存容量越大提供的优化效率越强，下面我们就一起进入正式的操作环节。

　　点击下载EWF压缩文件

　　1.首先我们要调出原有的系统账户：Administrator账户

　　依次右键点击计算机- 管理 - 本地用户和组 - 用户，我们可以看到目前你系统中现有的用户群组。



步骤一

　　2.打开Administrator账户，在常规界面中将“账户已禁用”点除掉。保存后注销计算机，进入Administrator账户。



步骤二

　　3.登录后我们在运行中输入regedit.exe，进入注册表编辑器



步骤三

　　4.在注册表中，我们从左侧的选项中依次点选HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ 进入目录。



步骤四

　　5.右键点击“Root”文件夹，进入Root的权限界面，将Everyone权限下方的完全控制点上对钩，最后进入高级选项。



步骤五

　　6.在上面所有者一栏中，将当前所有者设置为Administrator（ASD-PC\Administrator),并点选下方的“替换子容器和对象的所有者”，完成后确定保存然后重启计算机。



步骤六

　　上述步骤完成后，我们进入注册表导入环节，并且本页内容中提到的修改环节，通过下面的叙述可以一步归为，读者朋友务须担心。

　　第4页：注册表权限修改:惊人速率展现

　　前文步骤完成后，我们进入注册表修改以及最后的开启阶段。说到修改注册表，一定会有网友担心系统安全问题，笔者在这里要提前说明，此EWF读写过滤系统的注册表导入已经为安全卸载和清除保护做了充分的准备，通俗来讲注册表的修改主要是让系统启动通过使用内存空间达到保护和提速的效果。具体的卸载以及关闭EWF功能我们将在下文中讲诉。

　　重启计算机后，我们压缩前文中的EWF文件包（任意盘符下），点击“ewf”进行注册表添加。然后复制文件夹内的system32和sysWOW64两个文件夹到系统盘的windows目录内，如有提示覆盖则选择覆盖原有文件。

覆盖文件内容（点击查看大图）



覆盖选项

　　完成上述操作后，我们重启机器，在开始菜单运行中输入“cmd”，右键以管理员身份运行。在system32目录后，输入“ewfcfg -install”（注意小横杠前有空格）。输入完成后回车，开始EWF读写保护系统。



输入时注意小横杠前有空格

　　再次重启计算机，在开始菜单附件中，继续右键以管理员身份进入“命令提示符”，此次我们可以看到下图中绿色全框内的路径已经改变。再次输入“ewfmgr C： -enanle”（依然要注意空格位置），回车完成开启对系统C盘的覆盖。再次重启计算机，你会感受到不一样的开机速度。



注意绿框内容与上图的区别 启动项已经修改

　　无论你进入哪个账户，你的系统盘都已经被EWF系统所保护起来，增强写过滤技术会大幅度提高系统盘的使用效率，下面的CrystalDisk速率测试成绩截图可以直观的反映到系统盘映射到内存后的读写成绩。



惊人的读写速率

　　我们在压缩包内还可以看到其他几个文件，在下图中笔者圈住的两类文件也起到了至关重要的作用：

　　1.SAVE：既然系统是通过使用内存空间而达到保护提速的，那和虚拟硬盘一样，每一次的关机会自动抹除此次运行过程中的所有数据，无法自动保存本地数据。而此“SAVE”文件的作用就是保存本次数据并重启计算机，这也是相对于虚拟硬盘来讲更为实用的一点。

　　2.trun OFF/ON：关闭与开启覆盖层设置，通俗来讲就是两个开关按钮。

　　保存与开关设置

　　如果你想彻底取消EWF读写过滤系统，可以在运行对话框中输入“ewfmgr C: -commitanddisable”按回车键执行，接着重启即可关闭EWF保护，系统将回到最初的设置。Ewfmgr还有很多参数，可以输入“ewfmgr /?”进行查看。

　　第5页：与虚拟内存的区别：根本概念不同

　　很多人看到EWF会直接联想到其与虚拟硬盘之间的联系，同样是通过内存来提取数据，同样可以达到惊人的读写速度，同样在无措施的情况下重启计算机会丢失保存过的数据，但其实最根本的概念就是两者间最大的区别。

　　完全控制保护盘符的写入

　　笔者认为通俗说EWF技术是完全将目标盘符的写入数据包揽覆盖到内存中，而恰恰的针对系统盘来讲，目前的内存容量（4GB以上）在每一次开机运行过程中完全可以承担系统盘吸取的数据大小也并不会造成内存容量过大的问题。

　　目前互联网上对于EWF技术的探讨仍不够全面，但通过完全控制写入这一方面来讲就与虚拟硬盘产生了很大的区别。后者通过提高缓存容量，将网页缓存和下载缓存全部放入到内存中从而提升系统性能，其只是在速度优化方面拥有一定的优势，将内存拥有的高读写性能发挥到了系统缓存处理上，除次之外EWF所拥有的技术特点全部都是两者间的区别。



虚拟硬盘利用内存空间和特性环节系统缓存压力

　　对于存储产品的保护

　　如果你的SSD或机械硬盘只有一个盘符，EWF技术会完全限制盘符下的数据写入，且提取数据也会根据数据位置来选择是从磁盘提取或是覆盖层（内存）中提取，从而达到对磁盘的读写耗损起到保护降压的效果。

　　而虚拟硬盘的保护体质只是针对高速下载的情况下，提高系统缓存来加大对于存储产品写入速度的冲率，缓存越大提供的缓冲能力越强，和EWF技术相比，用一个并不恰当的比喻来讲：虚拟硬盘更像是一个汽车减速带一样，而EWF则恰恰是一个制动刹车。保护吸取的数据一旦超过了内存本身的容量，那只有一个后果：制动失灵，也就是蓝屏死机。



4GB内存使用EWF技术Win7开机空载内存使用量

　　整个系统运行过程的缓存数据能有多少？所以笔者建议的4GB以上内存容量可以不用担心内存使用量过高的问题。

　　关于提速的区别

　　EWF技术的应用我们在前文中已经有了清晰的描述。在提取数据方面是通过磁盘和覆盖层（内存）两种方式提取，所以其实对于开机速度来讲，主要的读取文件来源于磁盘内部，所以提速效果并不明显，但是对于网页浏览和其他针对制定盘符的写入读取设定，EWF技术本身仍然可以将DRAM高效的读写优势发挥出来。



图中虚拟硬盘的速率和我们前文中看到的EWF保护盘速率相同

　　虚拟硬盘通过对系统的设定，将IE缓存，压缩缓存，下载缓存等全部指定放入到内存中进行读写，这些速率的提升都是实实在在的，可以说EWF在此方面与虚拟硬盘相比更为全面。

　　第6页：最后：固态硬盘寿命是不是拖油瓶

　　全文总结

　　基本上EWF增强写过率技术的概念基本已经清楚了，目前对于此类应用的人并不是多数，笔者今日提出以EWF技术来缓解固态硬盘或者其他存储介质读写耗损的想法，也希望可以给广大DIY爱好者一些新的思路。目前此方案究竟可以达到什么样的地步，笔者也没有确切的参考证明，但通过实践可以看到其的确将硬盘的读写压力减轻很多。



EWF技术曾广泛应用在网吧和公共计算机上

　　通过全篇文章的阐述，笔者也将EWF的优缺点进行了归纳：

　　优点

　　1.保护磁盘上的数据以避免被改变或破坏:完全限制写入；

　　2.可提供磁盘内容的多个快照：直接从覆盖层提取数据；

　　3.允许将磁盘写入操作提交到受保护的卷，还原到以前的覆盖级别。

　　5.保护磁盘上的数据以避免被改变或破坏：有效的防止病毒入侵。

　　6：也可针对优盘、存储卡等产品实行保护：CF卡SD卡产品本身读写压力很大。

　　缺点

　　1.要求对驱动器进行分区以容纳覆盖分区：制定盘符

　　2.需要额外的内存，以存储在覆盖中缓存的数据，当系统重新启动时，无法主动保存数据。

　　但其实我们仔细分析，EWF技术依然不适合家用消费者使用，虽然通过“SAVE”文件可以提供本地数据保存，但是其的防耗损和病毒防护功能针对机械硬盘来讲没有太大的帮助。所以我们只能生拉硬拽的将其像SSD多靠拢一些，说来说去最后的关键话题还是要放在关于固态硬盘的短命的观点上.



SSD寿命问题是否成为拖油瓶

　　目前很多消费者都一致的认为SSD的寿命问题实在令人担忧，但其实自己观察可以发现，此类问题主要还是来源于产品返修或者由于固件更新问题而导致的折寿或者报废的情况发生。

　　如果只针对固态硬盘的读写耗损，那么长期的使用BT下载或者其他大量使用读写性能的程序的确会对盘体本身造成一定的损害，注意这里提到的是“一定”,耳传风的能力让这种损害变成了目前固态硬盘面前的一道墙。虽然寿命问题像慢性病一样的围绕着存储产品，但其也不是弊端的拖油瓶，更良好的使用习惯和类似于今日笔者介绍的相关技术至少能够从自身改善产品条件，谨慎更新固件和尽量用仓库盘来进行BT下载才是延续产品寿命的根本。

用微软的EWF软件保护系统。

　　相信很多人都知道，影子系统是一款有名的国产软件，它的作用就是可以让所有操作还原，保护Windows系统不受意外破坏。其实微软也在不久前推出了自己的EWF(Enhanced Write Filter)软件，它被称为微软的“影子系统”。利用这个免费软件，可以让我们的系统免受病毒、木马的侵扰。

一、EWF的工作原理

　　EWF提供了一种保护卷以防止写入的功能。这使操作系统可以从只读设备中启动。这样，所有对受到EWF保护的分区进行的写入都被重定向到“覆盖”。

　　EWF提供了两种覆盖模式，即磁盘模式(EWF Disk Mode)以及内存模式(EWF RAM Mode)。其中，磁盘模式就是基于磁盘的覆盖类型，它将所有写入操作重定向到硬盘上的不同分区。如果需要，可以将覆盖分区中存储的数据提交到受保护的卷。对于单个卷，可能存在多个磁盘覆盖，并且这些覆盖可能分层。通过这一机制，可以为磁盘创建多个检查点；此外，内存模式一种是基于RAM的覆盖，将所有写入操作重定向到内存。通常，当计算机关闭或重新启动时，该数据会丢失。

　　基于磁盘的覆盖和基于 RAM 的覆盖特征对比见下表。



　　二、用EWF保护系统

1.EWF程序的安装

　　EWF是微软FP2007嵌入式操作系统的一个组件，如果在Windows XP下使用，我们首先可以到http://www.cnzz.cc/Soft/2433.html下载它。程序下载后将它解压缩到任意文件夹中即可。这是一个绿色程序，双击该文件夹中的setup.bat安装批处理文件，随后程序打开一个“命令提示符”窗口并开始安装。安装完成系统会自动重启。

2.开启EWF的保护功能

　　EWF安装后，默认的情况下，EWF并没有处于保护状态，如果要开启EWF的系统保护功能，我们可以在EWF文件夹下运行TRUN ON.bat文件，重启后再进入系统就可以使用EWF进行系统保护了。
　　接着打开“命令提示符”窗口。随后在命令提示符下键入“ewfmgr c:”命令（其中c:为分区盘符），在显示的信息列表中如果State项显示为“enabled”表示EWF已经对C盘进行保护（图1）。如果显示为disable则是禁用状态，我们需要重新运行TRUN ON.bat文件。



当C盘处于受EWF保护的状态后，我们如果在C盘上安装或删除文件，下次重启电脑后都将恢复到安装或删除之前的状态。其实EWF也提供了一个保存功能，这样在EWF保护状态中，我们想升级病毒库、安装一些软件或复制一些文件时，在操作完成后，运行EWF目录下的Save.bat文件，系统重启后，EWF会把升级了的病毒库数据真正写入C盘。

如果我们想关闭EWF的保护功能，我们只要运行EWF目录中的TRUN OFF.bat文件即可。

　　 3.设置EWF全盘保护和其他分区保护功能

　　默认情况下EWF只保护系统分区，如果我们要进行全盘保护或设置其他分区保护时，我们只要对TRUN ON.bat进行简单修改即可。

　　首先用记事本文件打开“TRUN ON.bat”文件，我们可以看到下面的语句。

ewfmgr c: -enable

shutdown -r -f -t 01

　　这个语句表示对C分区进行保护。如果我们想保护其他分区时，如D盘，我们只要将这两行语句复制到下面，并将“C:”修改为“D:”即可（图2）。修改后，再次运行TRUN ON.bat，重启计算机后就可以对C、D两个分区同时保护了，以此类推。



怎么样，有了这个小小的EWF程序后，我们可以高枕无忧了，再也不怕病毒、木马的骚扰了。