考試大整理： EWF(Enhanced Write Filter)其實(shí)就是微軟FP2007嵌入式操作系統(tǒng)的一個(gè)組件，它被稱為微軟的“影子系統(tǒng)”。利用這個(gè)免費(fèi)小巧的組件，可以非常容易地打造一個(gè)影子系統(tǒng)，讓我們的系統(tǒng)在病毒、木馬橫行的Internet中百毒不侵。
     一、前期準(zhǔn)備
    1、安裝
    下載EWF壓縮包，并把它解壓到一個(gè)非系統(tǒng)分區(qū)，比如E:\ewf。然后雙擊setup.bat進(jìn)行安裝，或者在命令提示符下輸入如下命令也可：
    E:
    cd ewf
    setup.bat
    安裝完成系統(tǒng)會(huì)自動(dòng)重啟。
    2、運(yùn)行
    系統(tǒng)重啟后，單擊“開始→運(yùn)行”，輸入“E:\ewf\TRUNON.bat”(也可直接雙擊該文件)開啟EWF保護(hù)，然后系統(tǒng)會(huì)立刻重新啟動(dòng)，重啟后進(jìn)入系統(tǒng)就可以使用EWF保護(hù)了。默認(rèn)情況下保護(hù)第一分區(qū)，當(dāng)然也可進(jìn)行設(shè)置對其他分區(qū)的保護(hù)。
    3、查看
    Ewf提供對原版系統(tǒng)的保護(hù)，如果你的系統(tǒng)是精簡版可能會(huì)出現(xiàn)無法保護(hù)的情況。要查看EWF是否啟用，可在命令提示符下輸入“ewfmgr c:”，可以看到EWF使用RAM，保護(hù)狀態(tài)為enable(打開，如果顯示為disable則是禁用狀態(tài)，請檢查上述操作是否有誤)，保護(hù)的分區(qū)是C盤，EWF所有寫入操作重定向到內(nèi)存(圖3)。
    提示：如果要取消保護(hù)，可以在運(yùn)行對話框中輸入“ewfmgr C: -commitanddisable”按回車鍵執(zhí)行，接著重啟即可關(guān)閉EWF保護(hù)。Ewfmgr還有很多參數(shù)，大家可以輸入“ewfmgr /?”查看。