在XPE的运行镜像上,我们通常使用ewfmgr.exe来管理和控制EWF。本文将主要介绍ewfmgr的各项命令参数和使用方法。如果想在构建好的XPE运行镜像上运行EWF的管理控制程序,我们首先需要在开发阶段加入EWF Manager Console application组件和CMD - Windows Command Processor组件。 q�+j.��)�e
3CKd�[=-�Z
我们调用EWF的管理控制程序(ewfmgr.exe)的方法通常是在XPE的开始菜单->运行->CMD,打开命令行环境,然后基本的语法如下: 'zRi ;:UHA
EWFMGR (optional) [options] eT�(/D/jan
)A@ } mIs"
参数描述: fZq_]1(/uP
drive-letter:指定的分区路径。这是一个可选的参数,通常是指的EWF需要保护的配置分区。用于显示EWF保护分区的状态及其需要对保护分区所做的操作。使用驱动器字母来表示被保护的分区。例如:ewfmgr c:。 >}uD�QwX8�
!n�m[ZrS P
options:指定被保护分区的操作选项。对于EWF保护分区,我们可以使用Gauge命令来显示EWF分区已经写入或使用的百分比。用来管理和配置EWF分区的命令通常有:Disable, Enable, Commit, SetLevel, Restore, Checkpoint, Description, and Nocmd。 ���Gz_[|,i
�!�vrdu OB
命令描述: G�*�`H2-,�
All:显示所有EWF保护分区的信息,或者对所有EWF保护分区执行指定的命令。例如:disable, enable, commit,checkpoint 和 restore。使用用例:ewfmgr c: -all 或者 ewfmgr c: -all -enable; ��m�|CB')�
`Z'� h[-2`
Checkpoint:开启一个新的覆盖层级别。与 SetLevel= [Current Overlay Level + 1] 用法相同; y8!#G-��d5
MB�"Twt��W
Commit:针对指定的EWF保护分区,提交所有的操作到当前级别的覆盖层,并且重新设置当前覆盖层的级别为1。Commit 命令可以和disable命令联用,同时完成提交操作和关闭EWF功能的操作。使用 Commit 命令后,覆盖层的信息将会在下次系统重启后写入到被保护分区。提交覆盖层的过程将在下次启动过程中快速完成。使用用例:ewfmgr c: -commit �?�R MOy$L
J?1U'/�Wx2
CommitandDisable:提交当前级别覆盖层上的所有数据到被保护分区,同时关闭指定分区的EWF覆盖层。覆盖层的信息将会在下次系统重启后写入到被保护分区。你可以在EWF RAM模式下使用-live命令将覆盖层的信息立即提交到EWF保护分区,或者关闭EWF功能,使用-live参数则不需要重新启动,所做操作会立刻生效。-live 命令仅仅支持 EWF RAM 模式。使用用例:ewfmgr c: -commitanddisable -live; +%'!+r� l
zQ=c6xvm8�
Description:与许用户在一个覆盖层级别上关联一个ASCII字符串。该命令可以和SetLevel命令联用。使用用例:ewfmgr c: -description; VU F$,F��9
.IkQo�`_s:
Disable:关闭指定保护分区上的覆盖层,即关闭指定保护分区上的EWF功能。使用用例:ewfmgr c: -disable; S5(Vd�Md"^
-�L6YLe�%w
Enable:开启指定保护分区上的过滤写入功能,启用覆盖层,开启缓存。当启用EWF后覆盖层级别为1,并且新的覆盖层级别创建为1。使用用例:ewfmgr c: -enable; t"�Tv(W?�_
+�f"q^RIU
Gauge:显示指定的EWF分区使用的百分比。Gauge 参数只能够支持 EWF Disk 模式。你可以通过这个值来确定一个指定的增长值,这个值可以被用于监测EWF空间的使用情况。 使用用例:ewfmgr -gauge=5;当EWF的覆盖层每一次达到指定的增长百分比时,系统将会显示一个通知信息。例如,如果 EWF 分区当前使用了30%,那么下次通知信息将会出现在使用率达到35%,40%,45%...以次类推一直到100%。缺省的增长值为1,可以设定的有效值为1至100。ewfmgr 进程不能够通过按下Ctrl-C来终止。 vP. ^j7�wB
&W��V��&_z
NoCmd:清除当前已提交但未执行的命令。使用用例:ewfmgr c: -NoCmd; 8ZN"-]*���
k��,h�� /B
Persist:在指定的EWF保护分区上为该分区上所有的覆盖层指定一个64字节的预留区域; �#�O�,;3S�
E'iN=�=p_:
Restore:恢复覆盖层的优先级. 与 SetLevel=[Current Overlay Level – 1] 用法一致; N_�liKhq��
!e?2 ��x@J
SetLevel:设置当前的覆盖层级别为指定的级别。有效的设置值为: ?8!\VN�C.
1)t*�l�;.�
[Current overlay level + 1]:开启一个新的覆盖层; Px?zi�h!6�
[0 - Current overlay level]. 设置级别,将丢弃指定级别的覆盖层上的所有数据; \\P*w$c� �
[- Level]. 删除指定级别上的所有数据。 9�GtVcucN
N� oRPv�Fv
除了-live命令以外,所有的EWF命令均需要在冲启计算机后才能生效。所以你需要在执行EWF命令后重新启动计算机。 N(�`X�qeC*
c0Yc�~&RF�
示例: "t%J�j89a\
�TT�GWO�C�
以下的示例假设EWF的保护分区为C:,以下的命令和显示结果将演示如何查询EWF保护分区的当前状态: �d:{}0hmxI
Ewfmgr c: ?2��,{+d |
wz>�[CXpi_
EWF 管理程序将显示以下结果: ��SqZ .}s�
Protected Volume Configuration t�IS.,CEQF
Type DISK aYM~Ub:�x{
State DISABLED /vC!__�K9:
Boot Command NO_CMD CY�.��4>,
Param1 0 P-<1vfTh�H
Param2 0 *Ms�&WYN-
Persistent Data "" zl���| XZ
Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00 6nR EuT'k�
Device Name "\Device\HarddiskVolume4" K�|OPtYeb
Max Levels 3 ��fFYoZ/�\
Clump Size 512 q VI�0?B x
Current Level 1 O1�)\!=& .
Disk space used for data 0 bytes "�^!y>]j#A
Disk space used for mapping 0 bytes Dte��5g),R
Memory used for mapping 0 bytes �D6l�. x]K
k��d\Hj~�*
以下的命令将演示如何开启C盘上的EWF功能: Dcd�Et=\)h
EwfMgr c: -enable �>�:> W=�
V+y�"L>�K�
EWF 管理程序将显示开启命令已经提交. 在下次启动计算机的时候该命令将会执行;EWF 管理程序将显示以下结果: ��|\?�u-O3
Protected Volume Configuration �\�3^ue0�
Type DISK RK &>�!�^�
State DISABLED ��kVs�� YB
Boot Command NO_CMD 2a48�(�~<_
Param1 0 /}m*�|cG�/
Param2 0 .�E}lAd.Mn
Persistent Data "" j�i1vLu4|t
Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00 ��ngl +`|u
Device Name "\Device\HarddiskVolume4" "C:\" �g� g�x�_h
Max Levels 3 Tz,9>u�N��
Clump Size 512 j �fY7ich�
Current Level 1 =Nxkr0])!�
Disk space used for data 0 bytes GBbnR:��hM
Disk space used for mapping 0 bytes �l?U=s7s0?
Memory used for mapping 0 bytes }�aVZ\P�Dg
*** Enabling overlay y>P+"Z.K%}
Protected Volume Configuration a[-!X�7,IU
Type DISK �
State DISABLED 6p9fq3�~7Y
Boot Command ENABLE Z}J�5sifr�
Param1 0 �9�L��=m�S
Param2 0 !6!)�H�8rX
Persistent Data "" ,i��2�-���
Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00 �2}hJe+�#v
Device Name "\Device\HarddiskVolume4" W0qR? jc��
Max Levels 3 a3�@E���`Z
Clump Size 512 �9]4�Q�@�%
Current Level 1 Abc{<4 z0?
�%yRXOt2(
以下的例子将演示如何检查EWF分区及状态信息: J4�Gz�p~{
EWFMGR f��vu{�(Tb
+VIA@��`4
EWF 管理程序将显示以下结果: #;[G�>-tC
Overlay Configuration Xw H>F7HPe
Volume Size 2048030208 \"l z,�b�T
Segments 8192 %:3XYO.�w-
Segment Size 249856 ^����
Free segments 8192 IJ^~�,�+
Max Levels 3 �=2�\2S�p�
Max Protected Volumes 1 �H�|%�� J"
Protected Volumes 1 !"^Zr]Qt+\
Overlay volume percent full 0.00 �JFT$1^n
Protected volumes >��wW{�� $
Arc Path "\Device\HarddiskVolume4"
