FBWF控制台实用指南.doc

FBWF 控制台实用指南通过本文您可以了解到FbwfMgr（FBWF控制台）全部命令。先介绍一下EWF（增强的写入过滤器）和FBWF （基于文件的写过滤器）。两者都是能起到保护系统的作用，不同的是EWF基于磁盘扇区而FBWF 基于文件。所以在写保护状态下EWF只能以分区为单位进行写保护，而FBWF能以文件为单位进行写保护。并且可已将覆盖缓存以文件单位写入磁盘。本文以FP2007的FBWF为基础下面介绍一下FbwfMgr的使用。Mobile XP（MXP）BETA2 都是使用的FBWF，系统自带有FBWF控制台（FbwfMgr）/read-htm-tid-27529.htmlttp://viewthread.php?tid=126780开始菜单运行输入CMD，打开命令提示符。之后需要的输入命令1.查看FBWF的状态Fbwfmgr/查看FBWF的状态。也可以使用Fbwfmgr /displayconfig/查看FBWF的状态。成功返回：File-based write filter configuration for the current session:/当前FBWF状态。filter state: enabled./ FBWF现在处在开状态。overlay cache data compression state: enabled./压缩覆盖缓存：开启。解释一下FBWF拦截的数据放在缓冲区中即覆盖缓存overlay cache threshold: 1024 MB./ 覆盖缓存区大小：1024MB。overlay cache pre-allocation: disabled./ 覆盖缓存预分配：关闭。开启后会预先分配FBWF的覆盖缓存。size display: virtual mode./ 覆盖缓存：虚拟模式。FBWF具有两种模式实际模式和虚拟模式，在虚拟模式下覆盖缓存的可用容量=被写保护驱动器显示的可用容量。例如C驱动器被写保护，当前（虚拟模式，系统运行）C驱动器还有128MB的可用空间即表示覆盖缓存还有128MB可用。protected volume list:DeviceHarddiskVolume1/当前受写保护的驱动器，这里用驱动器号表示HarddiskVolume1=C：HarddiskVolume2=D：注意：有时候不是按顺序排的。例如：HarddiskVolume3=D：例如write through list of each protected volume:DeviceHarddiskVolume1:Documents and SettingsAdministratorLocal SettingsTempDocuments and SettingsAdministratorLocal SettingsTemporary InternetFilesDocuments and SettingsAdministratorMy DocumentsDocuments and SettingsAdministrator桌面Documents and SettingsAll UsersMy DocumentsDocuments and SettingsAll Users桌面RegfDataWINDOWSTEMPuserdata/FBWF的豁免写保护列表。在列表中的文件或文件夹不受写保护。DeviceHarddiskVolume3: (none)表示整个驱动器（HarddiskVolume3）又受到写保护。注意：RegfData文件如果存在在C：下不要将其从豁免写保护列表中手动删除和添加。同样不要尝试添加和删除fbwf.cfgFile-based write filter configuration for the next session: /下次启动系统（系统重起后）FBWF状态。filter state: disabled./ FBWF在下次启动被关闭。2. FBWF的开启和关闭。开启：FbwfMgr /enable成功返回：File-c will be enabled on the next reboot.关闭：FbwfMgr /disable成功返回：File-based write filter will be disabled on the next reboot.注意：两条命令都重起后生效3.向 FBWF豁免写保护列表添加删除驱动器（添加删除受FBWF控制的驱动器）添加：FbwfMgr /addvolume DeviceHarddiskVolume3 /添加DeviceHarddiskVolume3 添加驱动器到FBWF豁免写保护列表，默认列表为空（该驱动器将受到FBWF保护）也可以这样写FbwfMgr /addvolume D: /添加D：驱动器到FBWF豁免写保护列表正常返回：Volume DeviceHarddiskVolume3 will be protected after the next reboot.或者Volume d: will be protected after the next reboot.错误返回：Volume cannot be added. Filter is not enabled for the next session./下次FBWF为关闭状态,开启才能使用。删除：FbwfMgr /removevolume DeviceHarddiskVolume3 1/从FBWF豁免写保护列表删除HarddiskVolume3 驱动器 （该驱动器将不再受到FBWF保护）也可以这样写FbwfMgr /removevolume d: 1/从FBWF豁免写保护列表删除d: 驱动器注意本命令有一个开关1代表：重起后删除该驱动器豁免写保护列表。0代表：重起后不删除该驱动器豁免写保护列表。正常返回：Volume DeviceHarddiskVolume3 will not be protected after the next reboot.或者Volume d: will not be protected after the next reboot.错误返回：Volume cannot be added. Filter is not enabled for the next session./下次FBWF为关闭状态,开启才能使用。注意：两条命令都是重起后生效，并且下次重起FBWF为开启状态才能执行。4. 向FBWF豁免写保护列表（不受FBWF写保护）添加文件夹。添加文件夹：FbwfMgr /addexclusion DeviceHarddiskVolume1 Temp/将DeviceHarddiskVolume1Temp 文件夹添加进FBWF豁免写保护列表。也可以这样写：FbwfMgr /addexclusion c: Temp/将c:Temp文件夹添加到FBWF豁免写保护列表。成功返回：Path Temp on volume DeviceHarddiskVolume1 will be in the exclusion list after the next reboot.或者Path Temp on volume c: will be in the exclusion list after the next reboot.错误返回：Path cannot be added. Filter is not enabled for the next session./ 下次FBWF为关闭状态,开启才能使用。注意：命令中磁盘号和文件夹路径有一个空格。命令中盘符和文件夹路径有一个空格例如：正确的表示：DeviceHarddiskVolume1 Temp 或者c: Temp错误的表示：DeviceHarddiskVolume1Temp 或者：c:Temp注意：命令重起后生效，并且下次重起FBWF为开启状态才能执行。即使路径不存在也可以添加，但是必须先用FbwfMgr /addvolume命令添加驱动器否则会出现错误：FbwfMgr failed: 系统找不到指定的驱动器。5.向FBWF豁免写保护列表（不受FBWF写保护）添加文件。FbwfMgr /addexclusion DeviceHarddisklume1 1.txt /将DeviceHarddiskVolume11.txt 文件添加进FBWF豁免写保护列表。也可以这样写FbwfMgr /addexclusion c: 1.txt/将c:1.txt 文件添加进FBWF豁免写保护列表。成功返回：Path 1.txt on volume DeviceHarddiskVolume1 will be in the exclusion list after the next reboot.或者Path 1.txt on volume c: will be in the exclusion list after the next reboot.错误返回：Path cannot be added. Filter is not enabled for the next session./ 下次FBWF为关闭状态,开启才能使用。注意：命令中磁盘号和文件路径有一个空格。命令中盘符和文件路径有一个空格例如：正确的表示：DeviceHarddiskVolume1 1.txt 或者c: 1.txt错误的表示：DeviceHarddiskVolume11.txt 或者：c:1.txt注意：。命令重起后生效，并且下次重起FBWF为开启状态才能执行。即使路径不存在也可以添加，但是必须先用FbwfMgr /addvolume命令添加驱动器否则会出现错误：FbwfMgr failed: 系统找不到指定的驱动器。6.删除FBWF豁免写保护列表（不受FBWF写保护）的文件夹FbwfMgr /Removeexclusion DeviceHarddiskVolume1 Temp/将DeviceHarddiskVolume1Temp 从FBWF豁免写保护列表中删除。也可以这样写：FbwfMgr /Removeexclusion c: Temp/将c:Temp文件夹从FBWF豁免写保护列表中删除。注意：命令中磁盘号和文件夹路径有一个空格。命令中盘符和文件夹路径有一个空格例如：正确的表示：DeviceHarddiskVolume1 Temp 或者c: Temp错误的表示：DeviceHarddiskVolume1Temp 或者：c:Temp注意：命令重起后生效，并且下次重起FBWF为开启状态才能执行。7.删除FBWF豁免写保护列表（不受FBWF写保护）的文件FbwfMgr /Removeexclusion DeviceHarddisklume1 1.txt /将DeviceHarddiskVolume11.txt 文件添加进FBWF豁免写保护列表。也可以这样写FbwfMgr /Removeexclusion c: 1.txt/将c:1.txt 文件从BWF豁免写保护列表中删除。注意：命令中磁盘号和文件路径有一个空格。命令中盘符和文件路径有一个空格例如：正确的表示：DeviceHarddiskVolume1 1.txt 或者c: 1.txt错误的表示：DeviceHarddiskVolume11.txt 或者：c:1.txt注意：命令重起后生效，并且下次重起FBWF为开启状态才能执行。8.将FBWF覆盖缓冲区的文件写入磁盘（将改变的文件写入磁盘保存）FbwfMgr /commit DeviceHarddisklume1 1.txt /将DeviceHarddiskVolume11.txt 从FBWF覆盖缓冲区写入磁盘（重起后1.txt不会复位）也可以这样写FbwfMgr /commit c: 1.txt/将DeviceHarddiskVolume11.txt从FBWF覆盖缓冲区写入磁盘（重起后1.txt不会复位）成功返回：Changes made to file 1.txt on volume C: are committed.注意：不支持文件夹和通配符（*.*）。（使用通配符发现返回下列错误：测试的时候发现FbwfMgr failed: Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。 如果 Windows 仍然无法找到网络路径，请与网络管理员联系。） 不支持在FBWF开启后新建的文件。根目录除外。不支持在FBWF豁免列表的文件， 9.放弃FBWF覆盖缓冲区的文件缓冲。FbwfMgr /restore DeviceHarddisklume1 1.txt /放弃DeviceHarddiskVolume11.txt 文件在FBWF覆盖缓冲区的内容（1.txt文件会立即复位）也可以这样写FbwfMgr /restore c: 1.txt/放弃DeviceHarddiskVolume11.txt文件在FBWF覆盖缓冲区的内容（1.txt文件会立即复位）成功返回：Changes made to file 1.txt on volume C: are committed.注意：不支持文件夹和通配符（*.*）。 （使用通配符发现返回下列错误：测试的时候发现FbwfMgr failed: Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。 如果 Windows 仍然无法找到网络路径，请与网络管理员联系。） 不支持在FBWF开启后新建的文件。根目录除外。不支持在FBWF豁免列表的文件， 10察看详细的FBWF覆盖缓冲使用情况FbwfMgr / overlaydetail成功返回：Overlay detail for each protected volume:DeviceHarddiskVolume1:/驱动器号：DeviceHarddiskVolume1:file1: name Documents and SettingsAdministratorApplication DataMicrosoftWindowsThemesCustom.themecache size 2544, open handle 0 /文件号码、完整路径/占用缓存大小、是否被打开。file2: name Documents and SettingsAdministratorApplication DataMicrosoftCryptnetUrlCacheMetaData60E31627FDA0A46932B0E5948949F2A5cache size 418, open handle 0file3: name Documents and SettingsAdministratorApplication DataMicrosoftCryptnetUrlCacheMetaDataA8FABA189DB7D25FBA7CAC806625FD30cache size 427, open handle 0file4: name Documents and SettingsAdministratorApplication DataMicrosoftCryptnetUrlCacheContent60E31627FDA0A46932B0E5948949F2A5cache size 1133, open handle 0file5: name Documents and SettingsAdministratorApplication DataMicrosoftCryptnetUrlCacheContentA8FABA189DB7D25FBA7CAC806625FD30cache size 63014, open handle 0file6: name Documents and SettingsAdministratorCookiesindex.datcache size 364, open handle 1file 194: name WINDOWSSchedLgU.Txtcache size 454, open handle 1file 195: name WINDOWSsetupapi.logcache size 48648, open handle 0file 196: name WINDOWSsetupact.logcache size 1264, open handle 0file 197: name WINDOWSInstaller89f0c.msicache size 2342814, open handle 0file 198: name WINDOWSInstaller3B410500-1802-488E-9EF1-4B11992E0440ARPPRODUCTICON.execache size 16053, open handle 0file 199: name WINDOWSInstaller3B410500-1802-488E-9EF1-4B11992E04401033.MSTcache size 7471, open handle 0file 200: name 1.txtcache size 428, open handle 1Memory consumed by directory structure: 1864 KBMemory consumed by file data: 17897 KB/目录占用缓存大小。/文件占用缓存大小。10改变FBWF覆盖缓冲容量。fbwfmgr/setthreshold 128/设置FBWF覆盖缓冲容量为128MB（16MB-1024MB）。成功返回：Overlay cache threshold will be 128 MB after the next reboot.注意：命令重起后生效11设置是否压缩覆盖缓存FbwfMgr /setcompression 1/开启压缩覆盖缓存成功返回：Overlay cache will be compressed after the next reboot.FbwfMgr /setcompression |0/关闭压缩覆盖缓存成功返回：Overlay cache will not be compressed after the next reboot.注意：开启压缩覆盖缓存后预分配覆盖缓存自动关闭，命令重起后生效12设置是否预分配压缩覆盖缓存FbwfMgr /setpreallocation 1/开启预分配覆盖缓存成功返回：Overlay cache will be pre-allocated after the next reboot.FbwfMgr /setpreallocation 0/关闭预分配覆盖缓存成功返回：Overlay cache will not be pre-allocated after the next reboot.注意：开启预分配覆盖缓存后压缩覆盖缓存自动关闭，命令重起后生效。13设置FBWF覆盖缓存容量显示是虚拟模式还是实际模式。FbwfMgr /setsizedisplay 1/开启虚拟模式，在虚拟模式下覆盖缓存的可用容量=被写保护驱动器显示的可用容量。例如C驱动器被写保护， C驱动器还有128MB的可用空间即表示覆盖缓存还有128MB可用。成功返回：Size Display set to virtual mode./开启虚拟模式FbwfMgr /setsizedisplay 0/开启实际模式成功返回：Size Display set to actual mode.注意：改变模式需要重起后才能生效。14显示磁盘有效容量。fbwfmgr /getvirtualsize c:/显示C驱动器有效容量。成功返回：Volume size in bytes: 2,034,651,136/总容量大小Volume free size in bytes: 1,055,412,224/可用容量大小15显示磁盘实际可用容量盘。fbwfmgr /getactualsize c:/显示C驱动器实际可用容量大小盘。成功返回：Volume size in bytes: 8,587,159,552/总容量大小Volume free size in bytes: 7,623,450,624/可用容量大小16获得FBWF控制台帮助FbwfMgr /? 也可以这样写FbwfMgr /help成功返回：FbwfMgr /? | /help command |/displayconfig | /overlaydetail | /enable | /disable |/addvolume volumename | /removevolume volumename 1|0 |/addexclusion volumename file_or_dir_path |/removeexclusion volumename file_or_dir_path |/commit volumename file_path | /restore volumename file_path |/setthreshold threshold | /setcompression 1|0/setpreallocation 1|0/setsizedisplay 1|0/getvirtualsize volumename/getactualsize volumename/ FBWF控制台的各种命令To get help for each individual command, for example, /addvolume,enter the following command:FbwfMgr /help /addvolume/ 使用FbwfMgr /help / FBWF控制台命令获得改名的的详细帮助。补充一下：如果路径有空格要加DeviceHarddiskVolume1 1 21.txt表示：(DeviceHarddiskVolume11 21.txt)(C:1 21.txt)1 2这个文件夹有一个空格，不是12。FBWF and Registry Filter (Changing IP Address)HKEY_LOCAL_MACHINEControlSet001ServicesRegFilterParametersMonitoredKeys2ClassKey=HKLMFileNameForSaving=YourFileName.rgfRelativeKeyName=SoftwareYourRegistryBranchmake the IP change persistent?Initially I thought these:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParametersInterfaces,IPAddressandHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesParametersTcpip,IPAddressHKEY_LOCAL_MACHINEControlSet001ServicesRegFilterParametersMonitoredKeys2ClassKey=HKLMFileNameForSaving=TcpIp.rgfRelativeKeyName=SYSTEMCurrentControlSetServicesTcpipParametersInterfaces 修改刷新率HKEY_LOCAL_MACHINEControlSet001Hardware Profiles0002SystemCurrentControlSetSERVICESiAlmDevice0Mon80861100DefaultSettings.VRefresh自动登陆相关HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon修改内容：在右边的窗口中的新建字符串AutoAdminlogon，并把他们的键值为1，把“DefaultUserName”的值设置为用户名，并且另外新建一个字符串值“DefaultPassword”，并设其值为用户的密码。在Windows XP中单击“开始运行”输入rundll32 netplwiz.dll,UsersRunDll 或者