創作內容

12 GP

FBWF 架設 [微軟牌 ] 靈活自如的 SSD 防寫系統 (EWF 的接班者)

作者:無痕之音│2013-08-04 22:59:33│贊助:27│人氣:20832



這幾天在看電腦相關資訊並做一些操作。
無意間發現可以替代 EWF 的好東西:FB
WF (File-Based Write Filter)
這個是 W7 出來後從原始 EWF 改進得來的。

對 C 碟進行效能測試圖1(開啟動態管理 RAMDisk 前):


對 C 碟進行效能測試圖2(開啟動態管理 RAMDisk 後):


UWF、FBWF、EWF 它們為 WES8、WES7、XP Embedded 這三代崁入式系統所分別提供的組件,都是微軟出品且都有數位簽章,你唯一需要在乎的就是各系統搭配的 XXXWF 不一樣而已。

UWF (Win8) 為 Universal Write Filter 可排除特定檔案目錄、登錄、動態管理記憶體、Embedded Lockdown Manager 管理員、保護目標磁區。(目前不用W8想玩的去弄來玩吧)      
                                                       
‧FBWF (Win7) 為 File-Based Write Filter可動態管理記憶體、排除特定檔案和目錄、保護目標磁區。
        (本文主題內容)
                                                                                                        
EWF (XP) 為 Enhanced Write Filter,可選擇是否要寫入保護磁區,是 XPE 首創提供的功能。          
       (前篇已說明過)                                                                                                           


Sector-based  protection
File Exclusion
Registry Exclusion
Memory Reclaim
ELM Integration
UWF
V
V
V
V
V
EWF
V
FBWF
V
V
V
(表格出處: http://how-lin.blogspot.tw/2013/01/we8s-lockdown-features-part-4-uwf.htmlhttp://how-lin.blogspot.tw/2013/01/we8s-lockdown-features-part-4-uwf.html)

FBWF 除了可以排除特定檔案或目錄外,也支援特定檔案的寫入動作(但不支援特定目錄寫入)。
還具備動態管理 RAMDisk 功能!
因為這個功能使得對於目前主流普遍 8G 記憶體的電腦來說就特別有用處。

個人是很懶的人,不太喜歡太深入著墨原理的部份,還是動手做一個 FBWF 系統比較實際。
首先第一個步驟當然就是要先下載需要的檔案,才好接續後面的實做:
SHA-1:D562B8CC63233012E134E0B615DBFC3935A961C6

Dropbox載點:https://dl.dropboxusercontent.com/u/58595124/FBWF_系統防寫_動態RAMDisk.rar
Google載點:https://drive.google.com/uc?export=download&id=0B7OOPCwmysOoMjR5dTJPcXdaWUE
檔案功用:
FBWF_TRUN  ON.CMD:開啟
FBWF 保護,並排除使用者目錄。
FBWF_TRUN  OFF.CMD:關閉
FBWF 保護。
EXECUATE.CMD:右鍵→編輯 開啟記事本,自行將檔案、目錄加入排除清單。
CheckFBWF_STATE.CMD檢視 FBWF 保護模式及 RAMDisk 保護狀態。
特定檔案寫回實體硬碟.txt
:需自行修改副檔名為 .CMD,詳細請見內容。
關閉休眠功能.CMD:將 C 下體積達數 G 的
hiberfil.sys 休眠檔移除並關閉休眠功能。

● 0. 前置工作:
1.) 將 pagefiles.sys 從 C 碟和 RAMDisk 移除,移到其它磁碟。
Q&A:
Q:為何要將  pagefiles.sys 從 RAMDisk 移除?
A:這是因為跟據系統管理記憶體的原理來看,這麼做只是浪費記憶體可用空間無法做最妥善利用。
     其一,分頁檔是用來分散記憶體壓力的;其二,分頁檔還需讀回記憶體佔用
額外空間才能執行程式;
     其三,置放的分頁檔會佔用一定空間,雖可以此免除 HARD FAULT(硬直錯誤) 卻不能被用來快取。
     這樣的做法還不如不設分頁檔,將可用空間都留給記憶體放工作集執行程式。
詳情請參閱: 想讓電腦更快更順嗎?系統最佳化,深入Windows記憶體管理 BY T 客邦

2) 將所有暫存檔都設至 RAMDisk。
我是用華擎提供的工具 AXTU 直接一鍵完成,很方便且相容性問題較少。
不過這工具對 FIREFOX 支援似乎有問題,我已更新過版本。


RAMDisk 原始設多少無所謂,因為由
FBWF 接手管理的 RAMDisk 大小都由它分配管理了。
AXTU 最小 512 MB 我直接設最小。
FBWF 動態管理部份 64-BITS 系統最大 128G、32-BITS 系統最大 1G。

● 1. 啟用系統管理員權限:
請看我前篇 EWF 教學到 STEP 2 即可,將預設的系統管理員特定帳號開啟,切換使用者模式換帳號進入
administrator 環境
DEBUG:
如果你這邊就發生了以暫存檔設定登入的問題...請開啟 REGEDIT 進入:
HKEY_LOCAL_MACHINE/SOFTWARE
/Microsoft/Windows NT/CurrentVersion/ProfileList
展開目錄機碼看右邊視窗有 C:/Users/Administrator 機碼(包括
S-1-5-21 網域-500.BAK) 全部砍掉。
然後在 "電腦" 上右鍵 → 內容 → 右下 "變更設定" → "進階" "設定" → 查看一下帳號將損壞帳號移除。

● 2. 匯入登錄檔 FBWF.reg:
一樣的動作很簡單,點兩下跳出視窗選合併即可完成。
參考前圖:

為了安全性著想,操作完別忘記將權限相關設定弄回去!
DEBUG:
如果匯入時遇到問題,可以參考這篇:
http://blog.new-studio.org/2012/05/ramdisk-file-based-write-filter.html
下載 PsExec 微軟釋出的進階權限工具,使用最高階 SYSTEM 權限匯入登錄內容。

(壓縮檔內有提供 .MAFF 檔要用 FIREFOX+MAFF 套件就可離線閱讀)

● 3. 將檔案移到 WINDOWS 目錄內:
看你使用的環境,是 32 位元系統選 X86,64 位元系統選 X64,然後將底下
SYSTEM32 和 SysWOW64 分別覆蓋原目錄,一般在 administrator 下可無誤完成此動作
註解:
SysWOW64 是 64 系統專有,用來放 32 位元的程式和檔案保留相容性。

SYSTEM32 是用來置放 64 位元的程式,系統程式 EXE 和 DLL 均放於此目錄下(剛好和目錄名稱相反)
一般上只需要將 SYSTEM32 的目錄放過去就行,SysWOW64 可不用管。

至此已可以登出 administrator 切換回原帳號,並將 administrator 帳號停用。
然後重開機...

● 4.開啟命令列啟動 FBWF:
FBWF_TRUN  ON.CMD 上右鍵以系統管理權限開啟,就會跳出視窗自動執行並重開機。
預設我是直接保護 C 碟並排除
/windows/bootstat.dat"Users" 使用者目錄,以維持最靈活的操作性。
至於
RAMDisk 保護也可以順便執行,只需要在原檔內容下加入就行(可以設6144 => 8G * 75% 動態分配)
fbwfmgr /addvolume <RAMDisk 代號>:
fbwfmgr /setthreshold <分配容量>
fbwfmgr /setsizedisplay 1 ;設定顯示動態分配大小

(註:C碟經過保護後容量顯示可能不正確,不過用效能測試軟體和監控就能得知了)

剩下其餘就見最上方檔案的功用說明了。

● 5.重開機後可以執行 CheckFBWF_STATE.CMD 檢視狀態:
紅線說明保護模式是否開啟,及顯示保護大小的模式,資訊下方則列出排除保護的檔案和資料夾。
綠線是設定的動態管理大小,我設 6144 (8G*75%=6G)。



●  心得:

開啟 FBWF 後系統會發生無法檢測系統元件簽章的問題。
不過開啟 Process Explorer V15.31 進行驗證都是通過的,顯然安全相容性方面還是有一點問題;
且我不建議
FBWF 後卸載防毒和關閉 UAC (使用者帳號控制),因為它只是使系統防寫,並不能阻止木馬和駭客的入侵 (換個說法就是與影子系統優缺點相同)。且關閉 UAC 的話會降低保護層級,使的一些程式可以直接穿過使用者層級以系統權限層級啟動,別太怕麻煩,該開的還是要開啟...。

FBWF 在 W7 下沒有其餘相容性上的問題,除了我剛說的無法於執行系統程式時驗證簽章外,
不論重開機還是執行其它程式,沒有其它明顯的問題。
也能正常進行睡眠和重開機,將檔案砍掉後重開也沒有消失不見,排除方面也正常運作。
只差沒用 RING0 工具進行更暴力的殺檔方式了。



●  最後附上幾張效能測試圖片:
-------------------------------------------------------------------------------------------------------------------------------------------------
HD TUNE PRO 開始沒多久...(藍線讀取,橘線寫入) 我有設定排除所以還是有進行寫入動作。


HD TUNE PRO (啟動約一小時後)


AS SSD (這個拿來測 SSD 速度也超慢... 但在記憶體跑就完全是另外一個層級)


ATTO (很少用...)


●  參考文章:
-------------------------------------------------------------------------------------------------------------------------------------------------

1.[心得] Ramdisk 與 win7 x64 使用FBWF
2.【系統加速】File Based Write Filter (x86+x64) ~ FBWF動態RamDisk應用提高記憶體使用效率
3.Everything you wanted to know about FBWF but were afraid to ask  Including how it might be made to work on XP Pro
4.用 File-Based Write Filter(FBWF) 使 RAMDisk 擁有動態記憶體分配功能
5.Win7 下使用 FBWF,為C 盤寫保護,圖文
6.將RAMDISK修改為動態虛擬硬碟
7.[WE8S] Lockdown features介紹 part-4 (UWF設定)

引用網址:https://home.gamer.com.tw/TrackBack.php?sn=2114700
All rights reserved. 版權所有,保留一切權利

相關創作

同標籤作品搜尋:FBWF|SSD|EWF|影子系統

留言共 8 篇留言

無痕之音
補充:
如果用 RING0 核心層級工具可以穿透保護...畢竟 RING0 工具是核心層級的操作工具。

還有將主機板 bios 更新至最新的 v2.1 版 (2013/7/12釋出),可以解決無法驗證系統元件建立者(簽章驗證)的問題,但有時不是很穩定。

08-05 04:31

一不留 神犬
GJ

08-05 15:04

無痕之音
[e12]08-05 15:12
無痕之音
剛剛在 x86 w7 (小筆電) 上測試,發現登錄內容有缺少項目會使 FBWF 於 32 系統上無法啟動,已補完整登錄內容。檔案重下即可。
此外只要於重開機後直接開啟 FBWF 就行,不必如 EWF 那樣進行安裝動作。

還有使用微軟的 PsExec 務必要進入命令提示字元操作,不能用 *.CMD 檔。
否則不能以 SYSTEM 權限開啟登錄編輯器。

08-05 15:06

納蘭映雪
http://i.imgur.com/EqofBUl.jpg

08-06 14:55

無痕之音
[e12] 不客氣08-06 20:35
溫泉蛋
EXECUATE.CMD 裡面改成
shutdown -r -f -t 03
PAUSE

就是全部的硬碟(EX: C:\ D:\ E:\...)都進入保護狀態?
還是只有系統碟(EX: C:\)進入保護?

這是剛翻到的指令0.0
http://baike.baidu.com/view/3156977.htm

另外= =看了上面這個網站...
virtual mode
actual mode
這兩種有甚麼不同?

06-01 23:14

無痕之音
這兩個差別就是是否顯示真實容量還是僅顯示被覆蓋的虛擬容量,後者大小也是自己設立的而非硬體大小。

那要看你設定哪一個碟保護。
也就是 fbwfmgr /addvolume X: 的 X 硬碟。06-02 03:39
溫泉蛋
剛剛執行了一下這個...
http://i.imgur.com/V4VLViQ.jpg

但是
http://i.imgur.com/XIrkk1J.jpg
這兩個還在例外區

06-02 07:06

無痕之音
要移除例外有另一個指令我沒列出來。

那個我在寫的時後漏掉了。目前忘了是哪個要找找。06-02 12:13
溫泉蛋
FbwfMgr /removevolume
這個嗎?

06-02 20:49

無痕之音
不是,是 FbwfMgr /removeexclusion

參考:http://msdn.microsoft.com/en-us/library/ee832762.aspx06-02 23:52
溫泉蛋
喔喔~3Q

06-04 12:25

無痕之音
不客氣06-04 21:57
我要留言提醒:您尚未登入,請先登入再留言

12喜歡★wellss 可決定是否刪除您的留言,請勿發表違反站規文字。

前一篇:[隨身碟改造] 以量產工... 後一篇:[Junction] 將...

追蹤私訊

作品資料夾

jahn26545278大家
【漫畫】愛神的祭典EP. 5 已更新 歡迎來小屋踏踏~(゚∀゚)看更多我要大聲說5小時前


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】