广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 8540 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
masa 手机
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x0 鲜花 x60
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[WinXP] 探讨 Windows 的档案保护机制
Windows 的文件保护机制


微软为了提高 Windows 系统的可靠性和稳定性,从 Windows 2000 开始使用一种叫做 WFP ( Windows File Protection,Windows 文件保护)的机制。现在,Windows 2000和Windows XP都有这个功能。本文将为你详细讲解 WFP,如何使用以及如何设置。

WFP 是如何工作的

WFP 把某些文件认为是非常重要的系统文件,例如所有的dll文件,exe、fon、ocx、sys还有tff等后缀的文件。在Windows 2000/XP刚装好后,系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹,这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%\system32\dllcache。当你使用了Windows系统一段时间之后,会发现一些其它类型的文件,例如cpl、cpx、inf、rsp、tlb等文件也会当作重要系统文件保护起来,并且WFP会根据这些文件建立一个目录,显示了所有受保护文件的正确版本和类型。一旦检测到文件被替代或者覆盖,就可以自动从备份的文件中恢复。而如果备份的文件由于某些原因也不可用,那么Windows就会要求你插入系统光盘,以便从光盘上恢复(图一)。你也许已经意识到了,dllcache这个文件夹会变得很大。在下文中我也会说明如何减小这个文件夹的体积。





使用情况

WFP的最基本的用途,就是保护系统文件不被更改。

对于系统管理员,这项功能能够减轻他们的负担。他们不用在由于某些用户的错误操作而忙碌。而对于一般用户,这功能更是可以当作救命稻草,从此不用再害怕由于安装错误的软件造成系统的不正常工作。不过对于那些有经验的高级用户,WFP也会成为一种负担,因为WFP会消耗一定的CPU和硬盘资源。

怎样证明WFP工作正常

在前面我们已经知道,WFP的主要功能就是为了防止重要的系统文件被错误删除或者替换,那么我们要验证WFP是否工作正常也就很简单了,只要我们人为地删除或者修改一些系统文件,然后看看WFP机制能否把被替换的文件恢复正常,就知道WFP是否正常工作了。

在运行中输入「%systemroot%\system32」并回车,打开System32文件夹,随便选中一个受保护文件(以cmd.exe为例),然后给这个文件重命名(这里假设改为cmd.exe.bak),确定后等待几秒钟,然后按F5 刷新一下,你可以看到,除了改名后的cmd.exe.bak,这里又有了一个新的cmd.exe,这就是操作系统从备份的文件中恢复出来的。

使用和自定义WFP

Windows文件保护可以用多种方式自定义它的运作,最简单的办法就是配置组策略(组策略只有Windows 2000和Windows XP Professional有,Windows XP Home没有)。在运行中输入「gpedit.msc」然后回车,可以打开组策略编辑器。依次展开Computer Configuration-Administrative Templates,-System(计算机配置-管理模板-系统),然后选择Windows File Protection(Windows文件保护)文件夹(图二)。双击每一项就可以分别进行设置。



Set Windows File Protection scanning(设置Windows文件保护扫瞄),这个策略可以让你决定是否在Windows启动的时候自动进行WFP扫瞄。如果你启用了这个策略,将会延长系统的启动时间。所以一般情况下最好不要启用它。如果你要设置WFP的其它运行方式,还可以在命令行下使用sfc/scanonce,sfc/scanboot,sfc/revert。其中sfc/scanonce会在下次启用电脑时扫瞄所有被保护系统文件一次,sfc/scanboot会在每次启动时都扫瞄一次,sfc/revert则会把扫瞄的设置初始化。

Hide the file scan progress window(隐藏文件扫瞄进度窗口),启用这个设置后在进行WFP扫瞄的时候就不会显示扫瞄的进度窗口。

Limit Windows File Protection cache size(限制Windows文件保护缓存大小),默认情况下,WFP会保存 ..

访客只能看到部份内容,免费 加入会员 或由脸书 Google 可以看到全部内容



[ 此文章被Kilian在2005-08-11 11:29重新编辑 ]



献花 x0 回到顶端 [楼 主] From:加拿大 | Posted:2005-08-11 10:47 |
Kilian
个人头像
个人文章 个人相簿 个人日记 个人地图
终身成就奖
知名人士
级别: 知名人士 该用户目前不上站
推文 x4 鲜花 x387
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

文章是否阁下原创或转帖? 如果是转帖就要注明来源,

阁下是否那2个档的作者

:: Replacer 1.1 for XP
:: www3.telus.net/_/replacer
:: By undefined
:: VBS by Michel Gallant

关闭Windows档案保护功能

在注册表编辑器中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon,将「SFCDisable」的键值修改为「FFFFFF9D」,如果需要重新启用该功能,重新设置为「0」就可以了。需要注意的是,关闭文件保护功能是比较危险的。

http://www.winguides.com/re...ay.php/790/

Windows 2000 SP2 以后和 XP

除了改 registry 之外,

不是还须要 hack 这个系统档 sfc.dll/sfc_os.dll 么?


献花 x0 回到顶端 [1 楼] From:加拿大 | Posted:2005-08-11 11:37 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.086746 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言