教程主题: 保护您系统的利器--微软影子系统

需要用到的工具：Windows XP Embedded SP2 FP 2007 EWF

测试环境：VMware Workstation ACE Edition V6.0.1 -- Windows XP SP2

内容：

【1】什么是EWF

EWF的全称是Embedded Write Filter。通过这种技术，可以把系统要写到磁盘上的数据重定向到其他不同的存储位置(覆

盖)，重定向的位置可以是本机未分区的区域或者是内存(RAM)。但重定向的操作是在后台悄悄完成的，作为应用软件来说并

没有察觉，还以为自己是在往磁盘上写入。EWF保护是基于内存(RAM)的覆盖，它通过注册表设置控制C盘(硬盘的第一个分

区)的写入，把所有写入操作重定向到内存，所以重启后可以抹除所有的写入操作。

【2】EWF之实战演练

【3】EWF使用注意事项

EWF采用部分内存作为写入的缓冲，建议使用EWF保护的电脑内存在512MB以上。如果运行的程序过多或者内存不足，系统会

出现延缓写入失败的提示。这时只需重启一下电脑即可。对于小内存的用户，EWF可以使用未分区的区域来存放写入的内容，

首先要使用PQ等分区软件来划出未分区的区域(1-2G即可)，接着使用Ewfmgr配置EWF分区用来保存覆盖。