在構(gòu)建好XPE操作系統(tǒng)上增加EWF功能

如何在已經(jīng)做好的XPE操作系統(tǒng)上構(gòu)建EWF功能，這是一個經(jīng)常被問到的話題。在實際應(yīng)用環(huán)境中，經(jīng)常會有這樣的情況，我們手上已經(jīng)有做好的XPE操作系統(tǒng)的設(shè)備，但是我們沒有原始的XPE工程，這時如果我們需要將RAM模式的EWF修改成DISK模式的EWF，或者在GhoST后發(fā)現(xiàn)EWF不可用了，這時我們應(yīng)該如何來處理和恢復(fù)EWF功能呢?

讓我們先把應(yīng)用環(huán)境來進行分類：

1. 現(xiàn)有的XPE操作系統(tǒng)根本就不具有EWF功能，也就是在構(gòu)建XPE操作系統(tǒng)的時候，沒有使用EWF NTLDR。這種情況下，我們的XPE如果需要手動添加EWF功能，就需要先將系統(tǒng)原有的NT Loard改為EWF NTLDR，然后再設(shè)置使用RAM模式還是DISK模式。

2. 現(xiàn)有的XPE操作系統(tǒng)已經(jīng)具有EWF功能，也就是在構(gòu)建XPE操作系統(tǒng)的時候，已經(jīng)添加了以下的EWF組件:

EWF NTLDR EWF操作系統(tǒng)內(nèi)核

Enhanced Write Filter EWF核心功能組件，包括ewfdll.dll,ewf.sys,ewfinit.dll.ewf.inf等核心文件

Enhanced Write Filter API (EWF API) EWF API支持文件，包括ewfapi.dll等編程接口

EWF Manager CONsole applicaTIon EWF控制臺命令組件，是執(zhí)行ewfmgr的必要組件

針對這樣的XPE操作系統(tǒng)，再修改或者恢復(fù)EWF功能，實現(xiàn)起來就比較容易。下面我們來分別看一下如何恢復(fù)或者設(shè)置EWF的RAM和DISK模式。以下例子均假設(shè)XPE的EWF分區(qū)為C盤。

(1)RAM模式

如果我們的XPE在重新Ghost后出現(xiàn)EWF-RAM錯誤的情況，或者在使用過程中出現(xiàn)EWF-RAM損壞的情況，我們應(yīng)該如何來恢復(fù)呢?

首先，必須確認EWF功能已經(jīng)不可用(如果可用，我們就不需要恢復(fù)了)，方法是打開CMD->ewfmgr c:，執(zhí)行命令后返回的應(yīng)該是錯誤信息。

其次，需要定義一個注冊表文件，方法是新建一個文本文件，然后將以下內(nèi)容拷貝到這個文本文件中：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesewf]

"ErrorControl"=dword:00000001

"Group"="System Bus Extender"

"Start"=dword:00000000

"Type"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesewfParameters]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesewfParametersProtected]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesewfParametersProtectedVolume0]

"VolumeID"="{1EA414D1-6760-4625-8CBE-4F9F85A48E15}"

"Type"=dword:00000001

"ArcName"="multi(0)disk(0)rdisk(0)partition(1)"

最后，把這個文件命名為XXX.reg，在XPE操作系統(tǒng)上雙擊導(dǎo)入到注冊表中。重新啟動計算機，然后在CMD中執(zhí)行ewfmgr c:，看看EWF的狀態(tài)是否正常。

注意：這個EWF構(gòu)建時必須將XPE生成在C盤，同時C盤分區(qū)不能太大，如果在別的盤符，那就改一下組冊表文件,修改方法如下：

把注冊表文件用記事本打開后，最后一行：

如果部署在C盤，則應(yīng)該是：

"ArcName"="multi(0)disk(0)rdisk(0)partition(1)"

如果部署在D盤，則應(yīng)該是：

"ArcName"="multi(0)disk(0)rdisk(0)partition(2)"

依次類推。

(2)DISK模式

如果我們的XPE在重新Ghost后出現(xiàn)EWF錯誤的情況，或者在使用過程中出現(xiàn)EWF損壞的情況，或者原有的EWF是RAM模式，我們需要修改為DISK模式。應(yīng)該如何來實現(xiàn)呢?

首先，我們要保證我們的XPE操作系統(tǒng)中已經(jīng)添加了Enhanced Write Filter和Enhanced Write Filter API (EWF API)組件。確定方法可以在XPE中搜索ewfdll.dll和ewfapi.dll文件，如果沒有就說明沒有添加這兩個組件。如果沒有也沒關(guān)系，我們可以手動把這兩個文件拷貝到XPE系統(tǒng)的system32目錄下并注冊就可以了。

其次，構(gòu)建注冊表文件，新建一個文本文件并命名為XXX.reg，把以下內(nèi)容拷貝到這個文件中：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEWFFBA]

"DiskSig"=dword:4f544c45

"OVSize"=dword:0007a120 ----> 應(yīng)該是500m 這里設(shè)置你的未分配分區(qū)的大小

"OVLevel"=dword:00000001

"PVConfigs"=dword:00000001

"EwfEnable"=hex(7):30,00,00,00,00,00

"EnableLazyWrite"=hex(7):30,00,00,00,00,00

"PVDisk"=hex(7):30,00,00,00,00,00

"PVPart"=hex(7):31,00,00,00,00,00

"PVDiskType"=hex(7):30,00,00,00,00,00

"PVType"=hex(7):30,00,00,00,00,00 ---〉30 為disk ,31 為ram

"PVOptimize"=hex(7):32,00,00,00,00,00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEWFParametersProtectedVolume0]

"ArcName"="multi(0)disk(0)rdisk(0)partition(1)"

"ClumpSize"=dword:00000200

"Type"=dword:00000000 ----〉0為disk 1 為 ram

"Enabled"=dword:00000001

"VolumeID"="{CCE9E3DA-1B74-43db-910A-9D58FACF88FE}" --->這個要加上 可以用GUIDGEN產(chǎn)生一個來

再次， 在XPE操作系統(tǒng)中打開磁盤管理器，然后再C盤分區(qū)后面建立一個未分配磁盤分區(qū)，分區(qū)大小應(yīng)該和你注冊表設(shè)置的一致。注意，這個分區(qū)應(yīng)該存在于C盤和D盤之間，如果創(chuàng)建在所有分區(qū)的最后面，可能會出錯，只是可能。呵呵;

然后，在XPE中導(dǎo)入上面做好的注冊表文件(XXX.reg)，重新啟動計算機;

最后，在XPE的CMD中運行以下命令：

rundll32 ewfdll.dll,ConfigureEwf[!--empirenews.page--]

然后重新啟動計算機。重啟完成后，在CMD中執(zhí)行ewfmgr c:，看看EWF的狀態(tài)是否正常。