这两天在网上搜了很久,发现描述EWF特性的文章,大部分都是关于xp embedded的。真正运用在win7 embedded的少之又少,特别是中文描述的就更少了。于是,将自己这两天整理的结果供大家参考一下。
1.目标机(能够安装win7 embedded系统的设备),1G内存(最好4G),8G硬盘(越大越好),对应的显卡等驱动
2.ICE(Image Configuration Editor)部署工具,可以到微软官网上下载,这里就不给下载地址了。
EWF是一种对物理存储介质进行写保护的技术,它将写操作重定向到RAM等介质,从而减少了磁盘的读写次数。当用户需要将信息写入磁盘的时候,可以通过相应的API,将数据信息写入到磁盘中。
EWF分为3种模式:
1.RAM mode
2.RAM-REG mode
3.Disk mode
不知道什么原因在win7 embedded中时没有disk mode的。在msdn中也只提到RAM mode和RAM-REG mode两种。
什么时候需要用到RAM mode或者RAM-REG mode得看自己的需求。它们二者其实区别也不大,只是一个把EWF Volume信息写到磁盘上,另外一个将EWF Volume的信息写到注册表中。看下下面的图,也许你就会有个大概的了解了。
一般情况下,RAM mode只保护一个分区,RAM REG mode则能保护多个分区。下面,就来部署拥有EWF功能的系统吧!
打开ICE工具,新建一个Answer file,打开Packages\FeaturePack,将Boot Environments下的Enhanced Write Filter Environment添加入Answer file,然后将Embedded Enabling Features下的Enhanced Write Filter With HORM添加入Answer file。
选择Validate菜单项中的Add Required Packages。最后,解决Validation信息栏中的所有错误后,保存该部署文件EWF_RAM.xml。
如上所述,我们没有对EWF特性进行设置而部署的系统,默认情况下是RAM REG mode。RAM REG mode模式可以通过部署好的系统中,通过修改注册表的信息来配置EWF特性的。这个在后续内容中会做详细介绍。
现在,我们先来介绍RAM mode。我们重新打开刚才保存的部署文件EWF_RAM.xml。
选中Answer file文件中的Enhanced Write Filter With HORM,在属性页中选中Specialize。选择EWFMode为RAM模式,在ProtectedVolumes右键选择Insert New Volume。输入一个唯一的key值,填写需要保护的DiskNumber和PartitionNumber。
剩下的工作就是安装系统了,可以用u盘或是其他介质,在Build Image的过程中,将我们的部署文件EWF_RAM.xml作为模板安装用户定制的win7 Embedded系统。
......
安装完成后,在命令提示符下,输入ewfmgr -all可以查看所有被ewf保护的磁盘。使用命令ewfmgr c: -enable打开EWF对C盘的保护,此时,需要重启才能开启EWF功能。
重启电脑后,在c盘下新建一个文件,再次重启电脑,发现该文件丢失,当确实需要将该文件保存在c盘时,可以在命令提示符下输入ewfmgr c: -commit。注:命令提示符应该是以管理员权限操作。
RAM mode在部署阶段完成配置,相比RAM REG mode要相对简单,当然RAM REG mode也可以在部署阶段完成相应的配置工作。
下面重点介绍一下RAM REG mode,根据之前我们没有做过任何配置的部署文件EWF_RAM.xml。通过它安装的系统在默认情况下是RAM-REG mode。当然,用户也可以选择在部署阶段指定保护的系统磁盘。
RAM REG mode主要是对注册表进行相应的操作,其实也就是对应的EWF Volume信息。
1.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}目录下添加项值“UpperFilters”=“Ewf”
2.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf目录下添加“ErrorControl”=dword:00000001、“Start”=dword:00000000、“Type”=dword:00000001。
3.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ewf\Parameters\Protected\Volume0目录下添加“Type”=dword:00000001、“Enabled”=dword:00000001、“CompareBeforeAlloc”=dword:00000000、“DiskSignature”=dword:00000000、“PartitionOffset”=hex(b):00,00,00,00,00,00,00,00
4.如果要保护多个分区,则类比3,将Volume0改为Volume1,依次类推。
在xp Embedded时,配置RAM REG好像用的是ArcName来标识保护的分区,但是win7采用的是“DiskSignature”和“PartitionOffset”,那么这两个值我们该如何获取了?
不用着急,win7 Embedded中有相应的工具能帮我们这个忙,他们分别是DiskPart和DiskPar。DiskPart在我们部署好的系统中时自带的,DiskPar则需要从网上去下载。都是很好找的工具,这里也不提供下载地址了。
在命令行中,输入diskpart运行diskpart控制台,然后输入select disk c:,disk detail;便能看见我们的DiskSignature值(十六进制)。然后,在命令行输入diskpar -i c:可以看到PartitionOffset值(十进制--这里特别注意!)。最后,在注册表中输入我们查询到的值后,重启电脑,再输入同RAM mode相同的ewf命令就能像RAM mode一样运行了。
这里值得一提的是,如果需要关闭ewf功能,只能输入-commitanddisable。因为注册表内容是在c盘上的,如果直接-disable是不能关闭ewf功能的。同时,-commitanddisable -live只在RAM mode下有效。
HORM功能在RAM mode和RAM REG mode是一样的。所以就一起介绍了。在命令行下输入ewfmgr c: -activatehorm开启HORM特性。此时,选择休眠计算机,再次重启时,发现windows的提示是“正在恢复windows”,而不是以前的"正在启动windows"。而且只需要不到10s便能启动我们的系统了,系统启动后,上次休眠时未关闭的应用进程也依然在运行。
这个原因主要是,在c盘下有个hiberfil.sys文件,当选择horm特性休眠时,会将该状态下的内存拷贝到该文件中,下次启动的时候,就会从该文件中把数据拷回内存中运行,所以会有这么快的开机体验。
迷迷糊糊写了一大堆,发现把自己给写晕了。东西确实很杂,欢迎大家来拍砖。如果确实需要文中说到的资源下载文件,可以给我留言。也欢迎大家来与我沟通交流。