Ewf manager что это
Внедрение Enhanced Write Filter (EWF)
Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.
Enhanced Write Filter может применяться в различных целях.
Основной идеей было получить безопасную ОС для серфинга в Интернете. EWF позволяет уберечь ПК от последствий посещения развлекательно-информационных ресурсов. Не секрет, что в последнее время участились случаи недобросовестной рекламы. Зайдя на ресурс, где размещена реклама, можно подвергнуться различным атакам. Однако, при использовании EWF все изменения, произошедшие на системном диске, после перезагрузки не сохраняются, и система, подвергнувшаяся атаке, снова готова к работе. Вторым приятным моментом является то, что при работе через EWF в ОС не накапливаются изменения, замедляющие ее работу, и через полгода Windows XP работает также шустро, как в день установки ОС.
При этом все необходимые изменяемые файлы (пользовательские документы и пр.) можно хранить на втором диске или разбить имеющийся на два раздела — системный и раздел для хранения файлов.
Установка EWF на Windows XP
1. Для установки EWF на Windows XP необходимо скачать архив EWF.zip.
В нем содержатся следующие файлы:
ewf.sys
EWFMGR.EXE
ewfntldr
ewf.reg
Файл ewf.sys копируем в %systemroot%\system32\drivers
EWFMGR.EXE в %systemroot%\system32.
По умолчанию к этому разделу только System имеет доступ на запись.
4. В реестр добавляется следующая информация:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF]
«NextInstance»=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]
«Service»=»EWF»
«Legacy»=dword:00000001
«ConfigFlags»=dword:00000020
«Class»=»LegacyDriver»
«ClassGUID»=»<8ECC055D-047F-11D1-A537-0000F8753ED1>»
«DeviceDesc»=»EWF»
«Capabilities»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
«ErrorControl»=dword:00000001
«Group»=»System Bus Extender»
«Start»=dword:00000000
«Type»=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0]
«Type»=dword:00000001
«ArcName»=»multi(0)disk(0)rdisk(0)partition(1)»
5. Теперь необходимо максимально очистить системный диск от временных и ненужных файлов.
7. Затем необходимо создать временного пользователя, дать ему права администратора, зайти в систему от его имени, перенести каталог администратора и заменить значение в реестре.
Плюсом переноса пользовательских профилей является то, что можно сохранять документы в рекомендованном системой месте.
Минусом является то, что подгружаемая информация и кэш браузера будут быстро накапливаться в профилях.
Если вы используете EWF только для защиты Flash-карты или SSD-диска от большого количества циклов записи/чтения, эту команду лучше всего поместить в автозагрузку.
Установка EWF на Windows 7
Установка EWF на Windows 7 возможна только в том случае, если вы используете EWF для SSD-диска.
Установка состоит из нижеперечисленных этапов.
1. Добавляем в реестр следующую информацию:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
«ErrorControl»=dword:00000001
«Start»=dword:00000000
«Type»=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ewf\Parameters\Protected\Volume0]
«Type»=dword:00000001
«Enabled»=dword:00000001
«CompareBeforeAlloc»=dword:00000000
«DiskSignature»=dword:00000000
«PartitionOffset»=hex(b):00,00,00,00,00,00,00,00
3. Теперь запускаем cmd, а в нем — утилиту diskpart.
4. Набираем «select disk nn», где nn — это номер диска (считается с 0).
Затем «detail disk»:
Нас интересует «Disk ID» (в русифицированной версии «ИД Диска»), запоминаем это значение.
5. Теперь набираем «select partition nn», где nn — номер.
Выводим информацию «detail partition»:
Нас интересует число, идущее после «Offset in Bytes» (в русифицированной версии «Смещение в байтах»).
6. Открываем в regedit раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Ewf\Parameters\Protected\Volume0 и редактируем значения:
DiskSignature — сюда вписываем «Disk ID»;
PartitionOffset — «Offset in Bytes».
Подробно с EWF можно ознакомиться на сайте MSDN.
Автор: Константин Иванищев, ведущий специалист по ИБ Positive Technologies.
Ускоряем Windows на USB Flash с помощью EWF (Enhanced Write Filter)
EWF – это дополнительный модуль операционной системы, изначально входит в состав Microsoft Windows XP Embedded и Windows Embedded Standard 7, которая применяется в различной встраиваемой технике. Например, используется в банкоматах, терминалах оплаты, игровых автоматах, различных системах «умный дом», где очень часто используется SSD или USB Flash память для уменьшения энергопотребления, тепловыделения и шумности работы.
В каких случаях применяется EWF.
1. В системах использующих SSD и CompactFlash накопители. Для сокращения числа обращений к диску при записи информации, что даёт возможность продлить срок службы этих накопителей.
2. Для ускорения работы Windows (все операции записи на диск происходят в оперативной памяти).
3. Для лёгкого возврата к первоначальному состоянию при перезагрузке Windows.
Как работает EWF.
У EWF существуют несколько режимов работы (более подробную информацию о всех режимах EWF можно получить на сайте msdn.microsoft.com/en-us/library/ms912915.aspx), нас интересует только режим EWF RAM Reg Mode.
При использовании фильтра EWF между диском и программами создается специальная буферная зона (оверлей) в оперативной памяти. При работе программ вся записанная информация происходят не на диск, а в быструю энергозависимую память. После завершения работы системы все изменения могут быть записаны на диск, или просто аннулированы.
Это дает несколько преимуществ:
1. Систему можно сделать полностью «стерильной» — например, установили все ПО, запустили EWF, отключили сохранение изменений, и каждый раз после перезагрузки вы получаете «чистую» ОС.
2. Вместо записи на диск все пишется в RAM, а это дает значительный прирост производительности даже на обычных HDD, не говоря уже о SSD и Flash.
Устанавливаем EWF.
Загружаем EWF_Install_Tool.rar, распаковываем архив. Для простой установки используем программу EWFTool.exe из каталога ewf_tool. Нажимаем «Install EWF Support» и «Minimize Disk Writes», или запускаем install.bat из каталога ewf_install после этого нужно перезагрузить систему. Если при загрузке операционная система вылетит в BSOD (синий экран) то для отмены EWF нужно восстановить файл ntldr в корне диска C: из файла ntldr.bak. В директории command находятся командные файлы управления EWF.
Для установки можно воспользоваться сборкой EWF+GUI Quick Install включающую драйвер EWF и утилиту управления режимами работы драйвера.
Замечание.
По умолчанию EWF устанавливается на диск C. Работа с файлами на других дисках осуществляется как обычно.
Описание команд управления EWF.
Несколько вариантов использования.
Первый вариант, если нужно ускорить работу операционной системы:
В итоге получаем систему защищённую от любых изменений на диске С.
EWF RAM Mode. Значительный прирост производительности
Одним из главных аргументов в сторону покупки нетбука с HDD против дешевого SSD является не столько большая вместимость, сколько быстродействие (акцент на слово «дешевого» установлен не случайно). Действительно, далеко не все планируют или хранят представленную широким разнообразием медиатеку, копию гигантского раздела с программами на своем миниатюрном помощнике, однако нет никаких сомнений в том, что быстродействие без ущерба энергопотреблению никогда не выставляет на задний план.
Одним из таких способов улучшения производительности работы системы является использование RAMDISK’а.
Коротко говоря, RAMDISK — это расположенный в оперативной памяти накопитель. Потому как скорость работы оной в разы превосходит прочие (HDD, SDD), его использование ведет к заметному улучшению быстродействия компьютера в целом.
Ниже будет описан простой способ (настройка Windows) включения режима EWF RAM Mode, основанного на том же принципе.
Key name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf
Name: ErrorControl
Type: REG_DWORD
Value: 0×00000001 (1)
Name: Group
Type: REG_SZ
Value: System Bus Extender
Name: Start
Type: REG_DWORD
Value: 0×00000000 (0)
Name: Type
Type: REG_DWORD
Value: 0×00000001 (1)
Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0
Name: Enabled
Type: REG_DWORD
Value: 0
Name: Type
Type: REG_DWORD
Value: 0×00000001 (1)
Name: ArcName
Type: REG_SZ
Value: multi(0)disk(0)rdisk(0)partition(1)
Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
Name: UpperFilters
Type: REG_MULTI_SZ
Value: EWF (EWF добавляется в новой строке после уже существующего volsnap)
Необходимые разделы и ключи реестра создаются через меню «Правка-Создать»
С этого момента все файлы диска C: хранятся в оперативной памяти. Это означает, что перед выключением, перезагрузкой, переходом в спящий режим и пр. необходимо выполнять некое подобие синхронизации. В противном случае созданные и отредактированные в процессе работы файлы, принятые настройки и прочие данные будут безвозвратно утеряны.
Несмотря на то, что после выполнения команды синхронизации вся ваша работа за текущий сеанс сохраняется от себя могу порекомендовать хранение особо важных файлов на другом диске (логический раздел SSD или HDD без включенной опции EWF, карта памяти, USB Flash-накопитель и др.).
Испытуемый Acer Aspire One (SSD 8GB) с 1GB оперативной памяти работает исправно.
Как установить и удалить EWF в работающем XP Embedded
Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.
Установка
1. Скопируйте следующие файлы из хранилища для вашего целевого устройства.
| Имя файла | Целевой_каталог + имя файла |
| ewfdll.dll | Windows\system32\ewfdll.dll |
| ewfinit.dll | Windows\system32\ewfinit.dll |
| Ewfmgr.exe | Windows\system32\ewfmgr.exe |
| Ewf.sys | Windows\system32/driver\ewf.sys |
| ewf.inf | Windows\inf\ewf.inf |
| ewfntldr | NTLDR |
2. Запустите regedit.exe
Щелкните правой кнопкой мыши на ключевом HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Enum\Root\ и выберите разрешения.
Измените разрешения для пользователей на полную и нажмите кнопку Применить.
3. Скопируйте следующие изменения и ProtectedVolume%% к ARC путь тома, который требуется защитить.Вы можете найти АРК путь для загрузочного тома в boot.ini — это будет выглядеть следующим образом «мульти (0) диск (0) RDISK (0) раздел (1)».
4. Импорт сохраненного файла реестра.
Удаление
1. Найдите следующие файлы на целевом устройстве и удалить их
| Имя файла |
| Windows\system32\ewfdll.dll |
| Windows\system32ewfinit.dll |
| Windows\system32\ewfmgr.exe |
| Windows\system32\drivers\ewf.sys |
| Windows\infewf.inf |
| NTLDR |
2. Скопируйте оригинальный NTLDR из хранилища в корневой каталог целевых устройств.
3. Запустите regedit.exe
4. Удалить EWF из следующего раздела
5. Удалить ключ в реестре
6. Перезагрузить компьютер.
EWF должен быть полностью удален из вашей системы. Пожалуйста, не забудьте скопировать NTLDR перед перезагрузкой!
Заморозка системы: история перехода с EWF на dVHD
Продолжение темы про заморозку системы.
В предыдущей статье речь велась о сторонних программах для Windows, которые позволяют «замораживать» состояние системы. Эти программы необходимы, т.к. считается, что Windows не имеет подобных встроенных механизмов.
Далее описывается история установки и настройки Windows Embedded Standard 7 с EpicFAIL’оми и счастливым концом.
Недавно пришлось создать одну встроенную систему на базе неттоп’а (Intel Atom, NVIDIA Ion, 2 GB DDR3, SSD 64 GB). Изначально планировалось установить на него GNU/Linux из-за лучшей возможности кастомизации, и возможности «заморозки» системы при использовании специальных файловых систем (Aufs, UnionFS). Однако, как всегда, возникли сложности на пути завоевания Linux’ом кремневых сердец. Встраиваемая система состояла не только из неттоп’а, но и из других устройств, разработчики которых написали ПО только для Windows, и, стоит признать, это ПО было написано хорошо. И так, в очередной раз, победила Винда /cry.gif "Ewf manager что это. Смотреть фото Ewf manager что это. Смотреть картинку Ewf manager что это. Картинка про Ewf manager что это. Фото Ewf manager что это")
.
Благо, что существует Windows Embedded Standard, который позволяет устанавливать только те компоненты системы, которые будут нужны, что важно при использовании SSD малого объема (установленный Windows Embedded Standard 7 занял 3-4GiB, тогда как обычный Windows 7 занимает 8-10 GiB), и содержит EWF (в статье описывается, как перенести модуль EWF из Windows Embedded в обычную Windows) :
Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.
Первый EpicFAIL: спустя несколько дней после установки Windows Embedded Standard 7, вышла финальная версия Embedded Standard 8.
Процесс включения EWF
Во-первых, для работы всех возможностей EWF нужен специальный загрузчик (он выбирается на этапе установки системы).
Во-вторых, желательно перенести pagefile.sys на другой раздел. И создать отдельный раздел для логов, документов, и остальных часто изменяемых файлов, которые не требуется замораживать. Также надо выполнить еще несколько подготовительных действий перед активацией EWF, однако в этой статье они описываться не будут, ибо, как раз в этот момент и произошел EpicFAIL.
Main EpicFAIL
Несколько фактов:
При попытке включить EWF Disk Mode выяснилось следующее:
Windows Embedded Standard 7 only supports EWF RAM and RAM Reg modes. Disk mode is not supported.
/evil.gif "Ewf manager что это. Смотреть фото Ewf manager что это. Смотреть картинку Ewf manager что это. Картинка про Ewf manager что это. Фото Ewf manager что это")
Эта строчка приводится в документе: Enhanced Write Filter with HORM (Windows Embedded Standard 7 Service Pack 1). И если описание EWF для Windows Embedded Standard 2009 находится по пути:
, то для Windows Embedded Standard 7 этот путь выглядит иначе:
Спасение
Начиная с Windows 7, загрузчик ядра системы поддерживает загрузку из VHD файлов (Native VHD boot).
Virtual Hard Disk (VHD) — формат файла, содержащий полную структуру и содержание сходные с жёстким диском. Используется для хранения виртуальных операционных систем, программ и других файлов в одном файле-образе, который можно открыть разными программами виртуализации или виртуальными машинами.
Инструкция:
Чтобы этого избежать нужно освободить букву диска (C:):
Как показывают тесты, начиная с Windows 7, при быстром форматировании раздела, ОС сама посылает на SSD команду TRIM, и нет необходимости в «ручном» удалении каждого файла для отправки команды TRIM.
Несколько советов
Помните, что если суммарный размер VHD+dVHD превысит размер раздела диска, на котором они расположены, то система упадет, т.к. ей просто некуда будет записывать новые измененные данные. Для предотвращения этого, можно уменьшить размер системного раздела на VHD.
Например, установленная и настроенная система (Windows Embedded 7 + необходимые программы) заняла на системном разделе 2.5 GiB. Система установлена на SSD объемом 64 GiB. Предположим, что для нормального функционирования системы (в режиме 24/7) нужно не более 13.5 GiB свободного места на системном разделе. В данном случае целесообразно уменьшить размер системного раздела до 16 GiB (2.5 + 13.5). В итоге получаем, что максимальный суммарный объем VHD’s будет равен: 2.5 (VHD) + 16 (dVHD) = 18.5 GiB, что, с учетом pagefile.sys (
2 GiB) и остальных системных файлов, будет меньше 64 GiB (объем SSD), и система никогда не упадет из-за нехватки места для расширения dVHD на SSD.
Перед заморозкой обновленной системы (на VHD), советую сделать Compact:
Ссылки «в тему»
Комментарии 3 +
Скоро выйдет продолжение статьи, в котором будет описан способ, значительно сокращающий время развертывания системы на VHD.
P.S. небольшой намек: p2p.
Обновил ссылки на батники (VHD_set_over, VHD_first_set_over, VHD_set_parent).
В новой версии улучшена стабильность работы, и включена запись логов.