Tutorial: Windows Embedded Enhanced Write Filter (EWF) / File-Based Write Filter (FBWF)

Enhanced Write Filter (EWF) sichert den Startzustand einer Partition. Alle Schreibvorgänge werden in den Arbeitsspeicher oder auf eine separate Partition geschrieben. Bei jedem Neustart bootet das Embedded System wieder in den Urspungszustand.

Ähnlich wie beim Enhanced Write Filter (EWF) arbeitet der File Based Write Filter (FBWF) und sichert den Zustand einzelner Dateien.

Es gibt viele Szenarien, in denen der Gebrauch des Enhanced Write Filter sinnvoll ist, wie zum Beispiel:

  • Terminalstationen
  • Anwendungen im Kiosk-Modus
  • Bereinigen von Bedienungsfehlern
  • Viren/Trojanerbefall

Bei aktivierten Filtern stehen unterschiedliche Modi zur Verfügung:

  • EWF Ram (speichert Veränderungen zur Laufzeit im RAM)
  • EWF Disk (speichert Veränderungen auf der Festplatte im unpartitionierten Bereich) - nur verfügbar bei Windows XP Embedded
  • EWF Ram Reg. (speichert Veränderungen auf der Festplatte im unpartitionierten Bereich und in der Windows Registry)

Vorraussetzungen:

Um die Filter nutzen zu können, ist es notwendig, dass die benötigten Komponenten auf dem Betriebsystem-Image vorhanden sind:

  • Background Disk Defragmentation Disable
  • Enhanced Write Filter
  • EWF Manager Console Application
  • EWF NTLDR

Konfiguration des Enhanced Write Filter (EWF)

Zum Sichern eines Betriebsystemzustandes öffnet man die Konsole (cmd.exe) als Administrator. Nun kann man mit folgenden Befehlen die gewünschten Einstellungen vornehmen:

  • ewfmgr.exe (gibt die aktuelle Konfiguration aus)
  • ewfmgr.exe -enable c: (aktiviert EWF - hierbei wählt man den Buchstaben der Bootpartition, deren Zustand „eingefroren“ wird)
  • ewfmgr.exe -disable c: (deaktiviert EWF - alle Änderungen werden nach dem Neustart wieder gespeichert)
  • ewfmgr.exe c: -commit (übernimmt alle Änderungen die zur Laufzeit passiert sind und kehrt nach jedem Neustart dazu zurück)
  • ewfmgr.exe c: -commitanddisable (übernimmt alle Änderungen die zur Laufzeit passiert sind und deaktiviert EWF)
  • ewfmgr.exe c: -activatehorm (HORM steht für Hibernate Once Resume Many - damit wird der aktive Zustand mitsamt geöffneter Programme gesichert und nach dem Neustart widerhergestellt)
  • ewfmgr.exe c: -deactivatehorm (deaktiviert Hibernate Once Resume Many (HORM))

Konfiguration des Enhanced Write Filter (FEWF)

Ähnlich funktioniert die Verwendung des File-Base Write Filter.

Man startet die cmd.exe als Administrator und verwendet folgende Befehle zur Konfiguration:

  • fbwfmgr.exe /enable (Schaltet den FBWF ein)
  • fbwfmgr.exe /addvolumec: (Verzeichnis auf den der FBWF wirken soll)
  • fbwfmgr.exe /addexclustionc: \ordner (Ausnhameordner auf den der FBWF nicht wirken soll)
  • fbwfmgr.exe /commitc: \ordner2\testdatei.txt (forciert das schreiben der Datei trotz überschreibschutz)
  • fbwfmgr.exe /overlaydetail (listet alle im Cache veränderten Dateien auf)
  • fbwfmgr.exe /disable (deaktiviert FBWF)

Weiterführende Links

EWF: http://msdn.microsoft.com/en-us/library/ms912906.aspx
FBWF: http://msdn.microsoft.com/en-us/library/ee832762.aspx

© 2019 ExpertDAQ. Alle Rechte vorbehalten.