創作內容

14 GP

FBWF 架設 [微軟牌 ] 靈活自如的 SSD 防寫系統 (EWF 的接班者)

作者：無痕之音│2013-08-04 22:59:33│巴幣：31│人氣：23031

這幾天在看電腦相關資訊並做一些操作。
無意間發現可以替代 EWF 的好東西：FBWF (File-Based Write Filter)
這個是 W7 出來後從原始 EWF 改進得來的。

‧對 C 碟進行效能測試圖1(開啟動態管理 RAMDisk 前)：

‧對 C 碟進行效能測試圖2(開啟動態管理 RAMDisk 後)：

UWF、FBWF、EWF 它們為 WES8、WES7、XP Embedded 這三代崁入式系統所分別提供的組件，都是微軟出品且都有數位簽章，你唯一需要在乎的就是各系統搭配的 XXXWF 不一樣而已。

‧UWF (Win8) 為 Universal Write Filter 可排除特定檔案目錄、登錄、動態管理記憶體、Embedded Lockdown Manager 管理員、保護目標磁區。(目前不用W8想玩的去弄來玩吧)
‧FBWF (Win7) 為 File-Based Write Filter，可動態管理記憶體、排除特定檔案和目錄、保護目標磁區。
　　　　　　  (本文主題內容)
‧EWF (XP) 為 Enhanced Write Filter，可選擇是否要寫入保護磁區，是 XPE 首創提供的功能。
　　　　　  (前篇已說明過)

Sector-based protection

File Exclusion

Registry Exclusion

Memory Reclaim

ELM Integration

UWF

EWF

FBWF

(表格出處： http://how-lin.blogspot.tw/2013/01/we8s-lockdown-features-part-4-uwf.htmlhttp://how-lin.blogspot.tw/2013/01/we8s-lockdown-features-part-4-uwf.html)

FBWF 除了可以排除特定檔案或目錄外，也支援特定檔案的寫入動作(但不支援特定目錄寫入)。
還具備動態管理 RAMDisk 功能！
因為這個功能，使得對於目前主流普遍 8G 記憶體的電腦來說就特別有用處。

個人是很懶的人，不太喜歡太深入著墨原理的部份，還是動手做一個 FBWF 系統比較實際。
首先第一個步驟當然就是要先下載需要的檔案，才好接續後面的實做：
SHA-1：D562B8CC63233012E134E0B615DBFC3935A961C6
Dropbox載點：https://dl.dropboxusercontent.com/u/58595124/FBWF_系統防寫_動態RAMDisk.rar
Google載點：https://drive.google.com/uc?export=download&id=0B7OOPCwmysOoMjR5dTJPcXdaWUE

檔案功用：
FBWF_TRUN ON.CMD：開啟 FBWF 保護，並排除使用者目錄。
FBWF_TRUN OFF.CMD：關閉 FBWF 保護。
EXECUATE.CMD：右鍵→編輯開啟記事本，自行將檔案、目錄加入排除清單。
CheckFBWF_STATE.CMD：檢視 FBWF 保護模式及 RAMDisk 保護狀態。
特定檔案寫回實體硬碟.txt：需自行修改副檔名為 .CMD，詳細請見內容。
關閉休眠功能.CMD：將 C 下體積達數 G 的 hiberfil.sys 休眠檔移除並關閉休眠功能。

● 0. 前置工作：
1.) 將 pagefiles.sys 從 C 碟和 RAMDisk 移除，移到其它磁碟。

Q&A：
Q：為何要將  pagefiles.sys 從 RAMDisk 移除？
A：這是因為跟據系統管理記憶體的原理來看，這麼做只是浪費記憶體可用空間無法做最妥善利用。
     其一，分頁檔是用來分散記憶體壓力的；其二，分頁檔還需讀回記憶體佔用額外空間才能執行程式；
     其三，置放的分頁檔會佔用一定空間，雖可以此免除 HARD FAULT(硬直錯誤) 卻不能被用來快取。
     這樣的做法還不如不設分頁檔，將可用空間都留給記憶體放工作集執行程式。
詳情請參閱：想讓電腦更快更順嗎？系統最佳化，深入Windows記憶體管理 BY T 客邦

2) 將所有暫存檔都設至 RAMDisk。
我是用華擎提供的工具 AXTU 直接一鍵完成，很方便且相容性問題較少。
不過這工具對 FIREFOX 支援似乎有問題，我已更新過版本。

RAMDisk 原始設多少無所謂，因為由 FBWF 接手管理的 RAMDisk 大小都由它分配管理了。
AXTU 最小 512 MB 我直接設最小。
FBWF 動態管理部份 64-BITS 系統最大 128G、32-BITS 系統最大 1G。

● 1. 啟用系統管理員權限：
請看我前篇 EWF 教學到 STEP 2 即可，將預設的系統管理員特定帳號開啟，切換使用者模式換帳號進入 administrator 環境。

DEBUG：
如果你這邊就發生了以暫存檔設定登入的問題...請開啟 REGEDIT 進入：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList
展開目錄機碼看右邊視窗有 C:/Users/Administrator 機碼(包括 S-1-5-21 網域-500.BAK) 全部砍掉。
然後在 "電腦" 上右鍵 → 內容 → 右下 "變更設定" → "進階" "設定" → 查看一下帳號將損壞帳號移除。

● 2. 匯入登錄檔 FBWF.reg：
一樣的動作很簡單，點兩下跳出視窗選合併即可完成。
參考前圖：

為了安全性著想，操作完別忘記將權限相關設定弄回去！

DEBUG：
如果匯入時遇到問題，可以參考這篇：
http://blog.new-studio.org/2012/05/ramdisk-file-based-write-filter.html
下載 PsExec 微軟釋出的進階權限工具，使用最高階 SYSTEM 權限匯入登錄內容。
(壓縮檔內有提供 .MAFF 檔要用 FIREFOX+MAFF 套件就可離線閱讀)

● 3. 將檔案移到 WINDOWS 目錄內：
看你使用的環境，是 32 位元系統選 X86，64 位元系統選 X64，然後將底下 SYSTEM32 和 SysWOW64 分別覆蓋原目錄，一般在 administrator 下可無誤完成此動作。

註解：
SysWOW64 是 64 系統專有，用來放 32 位元的程式和檔案保留相容性。
SYSTEM32 是用來置放 64 位元的程式，系統程式 EXE 和 DLL 均放於此目錄下。(剛好和目錄名稱相反)
一般上只需要將 SYSTEM32 的目錄放過去就行，SysWOW64 可不用管。

至此已可以登出 administrator 切換回原帳號，並將 administrator 帳號停用。
然後重開機...

● 4.開啟命令列啟動 FBWF：
在 FBWF_TRUN ON.CMD 上右鍵以系統管理權限開啟，就會跳出視窗自動執行並重開機。
預設我是直接保護 C 碟並排除 /windows/bootstat.dat 及 "Users" 使用者目錄，以維持最靈活的操作性。
至於 RAMDisk 保護也可以順便執行，只需要在原檔內容下加入就行(可以設6144 => 8G * 75% 動態分配)

fbwfmgr /addvolume <RAMDisk 代號>:
fbwfmgr /setthreshold <分配容量>
fbwfmgr /setsizedisplay 1 ;設定顯示動態分配大小

(註：C碟經過保護後容量顯示可能不正確，不過用效能測試軟體和監控就能得知了)

剩下其餘就見最上方檔案的功用說明了。

● 5.重開機後可以執行 CheckFBWF_STATE.CMD 檢視狀態：
紅線說明保護模式是否開啟，及顯示保護大小的模式，資訊下方則列出排除保護的檔案和資料夾。
綠線是設定的動態管理大小，我設 6144 (8G*75%=6G)。

● ● ● ● ● ● 心得：

開啟 FBWF 後系統會發生無法檢測系統元件簽章的問題。
不過開啟 Process Explorer V15.31 進行驗證都是通過的，顯然安全相容性方面還是有一點問題；
且我不建議 FBWF 後卸載防毒和關閉 UAC (使用者帳號控制)，因為它只是使系統防寫，並不能阻止木馬和駭客的入侵 (換個說法就是與影子系統優缺點相同)。且關閉 UAC 的話會降低保護層級，使的一些程式可以直接穿過使用者層級以系統權限層級啟動，別太怕麻煩，該開的還是要開啟...。

FBWF 在 W7 下沒有其餘相容性上的問題，除了我剛說的無法於執行系統程式時驗證簽章外，
不論重開機還是執行其它程式，沒有其它明顯的問題。
也能正常進行睡眠和重開機，將檔案砍掉後重開也沒有消失不見，排除方面也正常運作。
只差沒用 RING0 工具進行更暴力的殺檔方式了。

● ● ● ● ● ● 最後附上幾張效能測試圖片：
-------------------------------------------------------------------------------------------------------------------------------------------------
HD TUNE PRO 開始沒多久...(藍線讀取，橘線寫入) 我有設定排除所以還是有進行寫入動作。

HD TUNE PRO (啟動約一小時後)

AS SSD (這個拿來測 SSD 速度也超慢... 但在記憶體跑就完全是另外一個層級)

ATTO (很少用...)

● ● ● ● ● ● 參考文章：
-------------------------------------------------------------------------------------------------------------------------------------------------

1.[心得] Ramdisk 與 win7 x64 使用FBWF
2.【系統加速】File Based Write Filter (x86+x64) ~ FBWF動態RamDisk應用提高記憶體使用效率
3.Everything you wanted to know about FBWF but were afraid to ask Including how it might be made to work on XP Pro
4.用 File-Based Write Filter(FBWF) 使 RAMDisk 擁有動態記憶體分配功能
5.Win7 下使用 FBWF，為C 盤寫保護，圖文
6.將RAMDISK修改為動態虛擬硬碟
7.[WE8S] Lockdown features介紹 part-4 (UWF設定)

喜歡 14 收藏 8 引用留言推上首頁檢舉

引用網址：https://home.gamer.com.tw/TrackBack.php?sn=2114700
All rights reserved. 版權所有，保留一切權利

相關創作

同標籤作品搜尋：FBWF|SSD|EWF|影子系統

EWF 架設教學》》影子 & SSD防寫系統

Blog.｜如何選擇外接硬碟？ACASIS 阿卡西斯外接硬碟盒，所以我說現在 SSD條也太貴了吧？！

Micron Crucial T500 1TB Gen4 SSD - 裝機首選效能不俗

[達人專欄] 掌機總是要有一台，升級容量啦!!: Onexplayer Mini/Viper VP4000 Mini Gen4 SSD 簡易開箱

有點東西，美光T500 PRO 1T測試

留言共 12 篇留言

無痕之音：
補充：
如果用 RING0 核心層級工具可以穿透保護...畢竟 RING0 工具是核心層級的操作工具。

還有將主機板 bios 更新至最新的 v2.1 版 (2013/7/12釋出)，可以解決無法驗證系統元件建立者(簽章驗證)的問題，但有時不是很穩定。

08-05 04:31

一不留神犬：
GJ

08-05 15:04

無痕之音：
[e12]08-05 15:12

無痕之音：
剛剛在 x86 w7 (小筆電) 上測試，發現登錄內容有缺少項目會使 FBWF 於 32 系統上無法啟動，已補完整登錄內容。檔案重下即可。
此外只要於重開機後直接開啟 FBWF 就行，不必如 EWF 那樣進行安裝動作。

還有使用微軟的 PsExec 務必要進入命令提示字元操作，不能用 *.CMD 檔。
否則不能以 SYSTEM 權限開啟登錄編輯器。

08-05 15:06

納蘭映雪：
http://i.imgur.com/EqofBUl.jpg

08-06 14:55

無痕之音：
[e12] 不客氣08-06 20:35

溫泉蛋：
EXECUATE.CMD 裡面改成
shutdown -r -f -t 03
PAUSE

就是全部的硬碟(EX: C:\ D:\ E:\...)都進入保護狀態?
還是只有系統碟(EX: C:\)進入保護?

這是剛翻到的指令0.0
http://baike.baidu.com/view/3156977.htm

另外= =看了上面這個網站...
virtual mode
actual mode
這兩種有甚麼不同?

06-01 23:14

無痕之音：
這兩個差別就是是否顯示真實容量還是僅顯示被覆蓋的虛擬容量，後者大小也是自己設立的而非硬體大小。

那要看你設定哪一個碟保護。
也就是 fbwfmgr /addvolume X: 的 X 硬碟。06-02 03:39

溫泉蛋：
剛剛執行了一下這個...
http://i.imgur.com/V4VLViQ.jpg

但是
http://i.imgur.com/XIrkk1J.jpg
這兩個還在例外區

06-02 07:06

無痕之音：
要移除例外有另一個指令我沒列出來。

那個我在寫的時後漏掉了。目前忘了是哪個要找找。06-02 12:13

溫泉蛋：
FbwfMgr /removevolume
這個嗎?

06-02 20:49

無痕之音：
不是，是 FbwfMgr /removeexclusion

參考：http://msdn.microsoft.com/en-us/library/ee832762.aspx06-02 23:52

溫泉蛋：
喔喔~3Q

06-04 12:25

無痕之音：
不客氣06-04 21:57

一切不久立：
自己正好在找這方面資料，2020末了...沒想到經過這麼久檔案還在...感謝教學與分享！

11-14 15:13

無痕之音：
因為是放GOOGLE硬碟，他們的空間最穩定，W10就沒去研究是否有影子系統了，有空看看能否補上。歡迎你的光臨感謝鼓勵。11-14 15:31

夢見草：
作者您好：
根據您這篇的教學文，我在win7 64bit 底下實作成功，也應用了很長一段時間，很受用
並且也根據您這篇文章，我另外寫了一份筆記如下：
http://note.zn2.us/fbwf.htm

但是到了 win10 的時代， fbwf 就不適用了，我曾試強制安裝過，裝完系統就毀了
因此另外找到了適合於 win10 的版本，叫作 UWF ，一樣是微軟系統內建，但可惜的是，它只能運作於
win10 企業版、教育版、iot版本

我們常見的 win10 專業版，雖然也可安裝，但裝完之後，卻無實際作用，執行指令不會有任何回應
網路上我也找了一些相關資訊，似乎有破解法，但下載點都已失效

這頁有提到可在 win10專業版成功運行 UWF 但下載點已失效
http://taiwin.blogspot.com/2021/04/windows-10-prouwf.html

https://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1769910
上面這頁有提到安裝 Windows8.1-KB3038256-x64.cab 就可正常運行 UWF
我試著安裝過 Windows8.1-KB3038256-x64.cab ，不給安裝

以上是我目前 UWF 研究的狀況，還沒成功，有興趣的話，咱們一起來努力

10-09 14:17

無痕之音：
CAB命令列不行的話可以試試微軟網站下載MSU檔直接安裝，一定要用系統管理員權限開啟:
A) Copy the appropriate .msu file to your system and double-click to install ELM on your system.

OR

B) Install the appropriate .cab file for you system via the command line with administrator privileges: "DISM /online /add-package"10-10 10:00

無痕之音：
別隨便下載其他網站的系統檔，微軟的比較安全:https://www.microsoft.com/en-us/download/details.aspx?id=3702010-10 10:02

夢見草：
msu 也試過用管理員權限、指令安裝，一樣不給安裝
是從微軟官方下載的

10-10 19:25

無痕之音：
直接升企業版開UWF吧，搞這些太麻煩，雖然可以透過快照 Win10 LTSB或企業版安裝UWF的差異，但有太多繁瑣問題必須處理，不如直接企業版開UWF。10-10 19:55

夢見草：
查過了，正常情況下，一般人無法入手企業版，企業版也無法透過一般零售管道來購得，因為它是面向企業的大量授權版。
所以，一般人想要從合法管道取得企業版，還沒那麼容易。
教育版也是一樣，面向學術單位的大量授權版，也不是一般人能隨意取得的。

10-17 20:43

無痕之音：
企業版還是可以在拍賣商家找到，我看到就有一家賣 LTSC企業版價格不到100元，彩盒版千元左右。10-17 21:47

我要留言提醒：您尚未登入，請先登入再留言

14 喜歡★wellss 可決定是否刪除您的留言，請勿發表違反站規文字。

前一篇：[隨身碟改造] 以量產工... 後一篇：[Junction] 將...

追蹤私訊切換新版閱覽