作者 主題: EWF 試用感想  (閱讀 15512 次)

0 會員 與 1 訪客 正在閱讀本文。

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
EWF 試用感想
« 於: 2009-09-23 23:05 »
註: 不是心得, 不太提技術!

原本是購入 SSD 後, 想要降低 SSD 讀寫次數, 網友提到的方向.
當時只知道, 要透過 MSDN 等管道才能下載, 用途就是寫入資料會被還原, 當作軟體還原使用.
而之後看文章, 還有另外一種以檔案為唯讀單位的方式.

最近由於分公司的測試用電腦, 需要禁止寫入, 就想到這個作法並實作.
下載是透過 XP Embedded 的 Service Pack 光碟, 解壓出必要的檔案,
再編寫一份適合公司用的機碼檔, 及方便佈署的批次檔.

特點:
1. 一般網路文件介紹的是只有鎖定 C: (或第一個分割區, 對於多分割的系統要自己編機碼)
2. 由於機碼不是微軟官方所提供, 所以不能保證未來可用性.
3. 如果是 Notebook 搭配 SSD , 要確保當次修改有寫入.

冷笑話: 我的 IP 是 127.0.0.1

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #1 於: 2009-09-24 14:49 »
讀取一些網路文件心得:
http://msdn.microsoft.com/en-us/library/ms912906(WinEmbedded.5).aspx

1. ewf 有三種模式, 有兩種需要寫入硬碟, 或者需要 horm 的模式, 才需要更換 ntldr
2. ewfapi 是提供其他程式呼叫才會用到, 一般使用者用 ewfmgr 即可.
3. 修改 registry 的目的有兩大類, 一類是啟動 ewf , 一類是停用不必要的寫入, 在上面的網址都有範例.
4. 可以刪除 Windows 某些記錄檔, 開機時就不會出現開機異常的問題.

所以最小化(很難用)的安裝, 只需要 ewf.sys 及修改 registry 即可. (但是連啟動跟關閉都不能用, 還要手動停用某些服務)
標準一點的, 則是再裝 ewfmgr.exe 與停用不必要的寫入. (基本可以運作的程度)
實用一點的, 再更換 ntldr , 並可以啟動 horm 功能. (可以休眠一次, 多次還原, 讓 SSD 或 DOM 開機更快)
完整一點的, 才需要再把 API 複製到硬碟.


« 上次編輯: 2009-09-24 15:05 由 slime »
冷笑話: 我的 IP 是 127.0.0.1

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
EWF 解除保護的幾個常用功能
« 回覆 #2 於: 2009-10-05 12:15 »
這次在分公司實作保護的方式稱為 EWF , 而主要管理的程式為 ewfmgr ,
指令格式則是: ewfmgr 磁碟代號 功能 , 例如: ewfmgr c: -commit
(需要系統管理員權限)

在分公司使用時, 可能有幾種用途:

1.       安裝軟體或大量的修改:
甲、    先解除硬碟的鎖定: ewfmgr c: -commitanddisable , 重新開機後, 硬碟不再有保護
乙、    安裝軟體等修改
丙、    注意: 如果有外接隨身碟或硬碟, 需要從裝置管理員”解除安裝”, 否則 USB 鎖定會無效.
丁、    再設定為保護狀態: ewfmgr c: -enable , 重新開機後, 硬碟將會有保護

2.       少量修改
甲、    先從剛開機的環境開始
乙、    進行少量設定或修改
丙、    直接將異動的環境存檔: ewfmgr c: -commit , 這個動作不用重開機
丁、    注意: 這個動作務必在剛開機, 改過設定就進行, 避免有不必要的檔案或設定被儲存.

另外可以搭配 runas 功能, 就不需要登出再登入, 指令格式: runas /user:使用者名稱 “指令”
例如: runas /user:系統管理員 “ewfmgr c: -commit” , 打完指令再輸入管理員密碼即可.

這功能適合少量修改時或執行單一功能時使用.
冷笑話: 我的 IP 是 127.0.0.1

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #3 於: 2010-09-07 23:15 »
自己的筆電現有環境....

1. 硬碟 160 G , 分割為 120G D: 在前面(讀寫較快, 有資料), 30G C: 在後面(只有開機用到, 會啟動 EWF ).
2. 裝好 XP , SP3 , 在 C: 裝可攜版的 Pidgin , OpenOffice.org , NotePad++
3. 將預設的 My Documents 改到 D: .
4. 設定好常用環境的無線網路
5. 對 C: 進行 EWF 防寫
6. 在 D: 裝可攜版的 FireFox , Google Chrome
7. 裝 squid , Ramdisk , vmware (預設不啟動)
(預設 C:\squid\etc\squid.conf 的目錄為 D:\squid\var\cache)

緊急上網版:
1. 開機, 點 Chrome ....

上網版: 開機時手動執行特定批次檔, 進行以下步驟:
1. 執行 ramdisk 管理程式(因為不是 Command UI , 所以要用匯入設定檔)
2. 匯入 Registry , 將 TEMP 改為 Ramdisk
3. 將 ramdisk 版的 squid.conf 複製到 C:\squid\etc
4. 在 Ramdisk 建立暫存區, 並啟動
5. 匯入 Registry , 將 IE proxy 改為 127.0.0.1:3128
6. 執 Chrome

Lab 版: 開機時手動執行特定批次檔, 進行以下步驟:
0. 不執行 RamDisk , 因為記憶體要留給 VM 用
1. 有必要查資料的話, 只執行 chrome 或先執行 squid + 匯入 proxy + chrome
2. 執行 VMware
冷笑話: 我的 IP 是 127.0.0.1

hikohan

  • 俺是博士!
  • *****
  • 文章數: 1288
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #4 於: 2010-09-09 11:49 »
有測試過ap開啟厚的穩定度問題嗎?於ewf保護模式下,連續開啟ap或ie在flash與多重instance運作下會不會出現藍色小精靈?目前遇到的問題是這樣。

工作環境用ewf保護的目標方便說明嗎?

目前雲端運用下,單純browser工作頁面提供給訪客/工作者操作,似乎是不錯的方向。
lifeIsFunWithPHP.

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #5 於: 2010-09-09 11:59 »
有測試過ap開啟厚的穩定度問題嗎?於ewf保護模式下,連續開啟ap或ie在flash與多重instance運作下會不會出現藍色小精靈?目前遇到的問題是這樣。
工作環境用ewf保護的目標方便說明嗎?
目前雲端運用下,單純browser工作頁面提供給訪客/工作者操作,似乎是不錯的方向。

1. 由於 EWF 是攔截"寫入硬碟"的動作, 所以有 512M 緩衝空間的限制, 如果對硬碟異動超過 512M , 就會出現"磁碟寫入失敗",
倒是沒有出現過藍底白字(個人推測也許是磁碟無法寫入, 某些程式無法運作).
1a. 對應的方式, 是把硬碟分割成兩個分割區, 系統區才有啟動 EWF , 資料區可以寫入, 將所有會寫入資料的部份, 寫到資料區.

2. 主要有幾個考量:
2a. 防毒/還原, 由於公司有許多分公司, 難免有人透過 Mail 收到病毒檔, 如果中毒或設定異常時, 可以比較快還原.
2b. 減少使用者安裝不必要的檔案: 由於這些後台主機是給登打人員用, 所以要保持環境單純.

3. 沒錯, 會應用的算是"Client - Server"的 Client , 把 PC 當"有 OOo 等功能的 Thin Client ", 業務端或者主管所用的電腦則不會啟動 EWF .


冷笑話: 我的 IP 是 127.0.0.1

hikohan

  • 俺是博士!
  • *****
  • 文章數: 1288
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #6 於: 2010-09-09 14:23 »
winXP用PXE開機會不會太猛?   ;D
lifeIsFunWithPHP.

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #7 於: 2010-09-09 17:06 »
winXP用PXE開機會不會太猛?   ;D

之前個人試過 DRBL , 不過跟主管討論後, 主管偏好本機硬碟裝 OS , 所以並沒有採用 PXE ,
目前母碟還是先製作樣本機, 再用 CloneZilla 大量安裝.
冷笑話: 我的 IP 是 127.0.0.1

gagayeh

  • 可愛的小學生
  • *
  • 文章數: 11
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #8 於: 2010-10-17 06:31 »
3. 將 ramdisk 版的 squid.conf 複製到 C:\squid\etc  ???
Squid 的 Cache
第一步在記憶體
第二步才是在硬碟
將 cache_mem  加大
在將 cache_dir 關閉
cache 就只會在記憶體不會存到硬碟
有需要放到 ramdisk ???
img]http://www.nhacks.com/email/email/cmlja3kueWVo/R01haWw%3D/0/image.png[/img]

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #9 於: 2010-10-17 11:00 »
3. 將 ramdisk 版的 squid.conf 複製到 C:\squid\etc  ???
Squid 的 Cache
第一步在記憶體
第二步才是在硬碟
將 cache_mem  加大
在將 cache_dir 關閉
cache 就只會在記憶體不會存到硬碟
有需要放到 ramdisk ???

謝謝提供資訊, 因為我沒有深入研究 Squid 設定的部份, 才照以前的習慣使用.

(11:26)
剛剛試了一下, 移植到 Windows 版的 Squid 要建立該目錄才能使用.

測試方式:
squid.conf 的 cache_dir 取消掉, coredump_dir 改到 d:
將 squid 註冊為 windows 的 service
啟動 squid -> 失敗
執行 squid -z 建立 cache 架構, 發現建立在 c: (預設值)
再啟動 squid -> 成功
所以推測仍要建立該目錄.

測試-2:
設定 cache_dir 容量為 0 -> squid 無法執行
設定 cache_dir 容量為 1 -> squid 可以執行

所以我抓的 squid 被移植到 Windows 版, 至少仍要建一個容量為 1  的目錄

« 上次編輯: 2010-10-17 11:44 由 slime »
冷笑話: 我的 IP 是 127.0.0.1

gagayeh

  • 可愛的小學生
  • *
  • 文章數: 11
    • 檢視個人資料
回覆: EWF 試用感想
« 回覆 #10 於: 2010-10-17 19:16 »
把cahce 資料夾砍掉
改 cache_dir null /tmp
試看看
我在 2.7 版可成功
img]http://www.nhacks.com/email/email/cmlja3kueWVo/R01haWw%3D/0/image.png[/img]