Windows 的文件保护机制
微软为了提高 Windows 系统的可靠性和稳定性,从 Windows 2000 开始使用一种叫做 WFP ( Windows File Protection,Windows 文件保护)的机制。现在,Windows 2000和Windows XP都有这个功能。本文将为你详细讲解 WFP,如何使用以及如何设置。
WFP 是如何工作的
WFP 把某些文件认为是非常重要的系统文件,例如所有的dll文件,exe、fon、ocx、sys还有tff等后缀的文件。在Windows 2000/XP刚装好后,系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹,这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%\system32\dllcache。当你使用了Windows系统一段时间之后,会发现一些其它类型的文件,例如cpl、cpx、inf、rsp、tlb等文件也会当作重要系统文件保护起来,并且WFP会根据这些文件建立一个目录,显示了所有受保护文件的正确版本和类型。一旦检测到文件被替代或者覆盖,就可以自动从备份的文件中恢复。而如果备份的文件由于某些原因也不可用,那么Windows就会要求你插入系统光盘,以便从光盘上恢复(图一)。你也许已经意识到了,dllcache这个文件夹会变得很大。在下文中我也会说明如何减小这个文件夹的体积。
使用情况
WFP的最基本的用途,就是保护系统文件不被更改。
对于系统管理员,这项功能能够减轻他们的负担。他们不用在由于某些用户的错误操作而忙碌。而对于一般用户,这功能更是可以当作救命稻草,从此不用再害怕由于安装错误的软件造成系统的不正常工作。不过对于那些有经验的高级用户,WFP也会成为一种负担,因为WFP会消耗一定的CPU和硬盘资源。
怎样证明WFP工作正常
在前面我们已经知道,WFP的主要功能就是为了防止重要的系统文件被错误删除或者替换,那么我们要验证WFP是否工作正常也就很简单了,只要我们人为地删除或者修改一些系统文件,然后看看WFP机制能否把被替换的文件恢复正常,就知道WFP是否正常工作了。
在运行中输入「%systemroot%\system32」并回车,打开System32文件夹,随便选中一个受保护文件(以cmd.exe为例),然后给这个文件重命名(这里假设改为cmd.exe.bak),确定后等待几秒钟,然后按F5 刷新一下,你可以看到,除了改名后的cmd.exe.bak,这里又有了一个新的cmd.exe,这就是操作系统从备份的文件中恢复出来的。
使用和自定义WFP
Windows文件保护可以用多种方式自定义它的运作,最简单的办法就是配置组策略(组策略只有Windows 2000和Windows XP Professional有,Windows XP Home没有)。在运行中输入「gpedit.msc」然后回车,可以打开组策略编辑器。依次展开Computer Configuration-Administrative Templates,-System(计算机配置-管理模板-系统),然后选择Windows File Protection(Windows文件保护)文件夹(图二)。双击每一项就可以分别进行设置。
Set Windows File Protection scanning(设置Windows文件保护扫瞄),这个策略可以让你决定是否在Windows启动的时候自动进行WFP扫瞄。如果你启用了这个策略,将会延长系统的启动时间。所以一般情况下最好不要启用它。如果你要设置WFP的其它运行方式,还可以在命令行下使用sfc/scanonce,sfc/scanboot,sfc/revert。其中sfc/scanonce会在下次启用电脑时扫瞄所有被保护系统文件一次,sfc/scanboot会在每次启动时都扫瞄一次,sfc/revert则会把扫瞄的设置初始化。
Hide the file scan progress window(隐藏文件扫瞄进度窗口),启用这个设置后在进行WFP扫瞄的时候就不会显示扫瞄的进度窗口。
Limit Windows File Protection cache size(限制Windows文件保护缓存大小),默认情况下,WFP会保存 ..
访客只能看到部份内容,免费 加入会员 或由脸书 Google 可以看到全部内容