编辑提示：微软的“影子系统”也很强大

　　EWF全称是Enhanced Write Filter，是微软FP2007嵌入式操作系统的一个组件，利用这个组件用户可以快速打造一个影子系统，使我们的系统免受病毒和木马的侵害。当然，它和杀毒软件不同，EWF实现的是彻底还原，无论病毒多么狡猾，多么强大，在重启之后一样灰飞烟灭。

　　实践证明，微软原版影子系统比市面上的所有影子系统都要优秀，完全绿色免费，通过最底层重定向内存操作地址来达到影子系统的目的，无资源占用，相比市面上的一些影子系统会被病毒穿透的漏洞，Enhanced Write Filter直接运用微软Windows操作系统最底层嵌入调用，这是其它影子系统无法比拟的优势，病毒根本无法穿透。

　　EWF的安装

　　首先下载EWF，把它解压到一个非系统分区。如果你的系统安装在C盘，那么就把它解压到D:EWF。双击其中的setup.bat开始安装。需要注意的是EWF安装结束后系统会自动重启，因此在安装前一定要保存好数据。

 
                                        ▲EWF的工作原理示意图

重启完成后，双击运行D:EWF文件夹中的TRUN ON.bat文件，这时系统又会自动重启。当下一次进入系统时，系统已经处于EWF的保护之中了。EWF默认只对第一分区进行保护，也就是我们的C盘，如果我们想让EWF保护其他的分区，可以用记事本打开刚才运行的TRUN ON.bat文件，将其中的“ewfmgr c: -enable”修改为“ewfmgr d: -enable”，保存后双击运行就可以了。

 

 

                                  ▲运行TRUN ON.bat开启保护功能
EWF的使用

　　EWF安装完成后，我们如何得知其保护状态呢?点击“开始”→“运行”，输入“cmd”运行“命令提示符”，输入命令：“ewfmgr c:”并回车，在回显信息的“state”这项中我们可以看到其状态为“ENABLED”，则说明EWF正在保护中。“Type”这一项显示为“RAM”，也就是内存，说明我们所有的操作都会被存储在内存中，下次重启后所有写入的数据都会被还原。
 

                                               ▲C盘正处于保护中

　　下面我们简单试验一下，看看EWF的效果如何。在桌面上新建一个test文件夹，然后重启，进入系统后我们会发现test不见了，说明EWF正在执行它的保护作用。现在，无论我们怎么折磨系统，或者访问恶意网页，都已经无所谓，因为这一切在下次重启时就会还原。现在我们可以尽情地使用电脑了。

　　更新保护内容

　　在平时使用电脑的过程中，难免会有一些数据资料需要保存，例如杀毒软件的病毒库、自动更新的补丁等，那么如何让EWF保存这些更新的数据呢?方法很简单，双击D:EWF文件夹中的save.bat，重启以后数据就会被保存下来了。

　　关闭EWF保护功能

　　EWF保护功能的关闭和开启同样简单，在命令提示符中输入“ewfmgr C: -commitanddisable”命令并回车，就可以将EWF的保护功能关闭了。