File-Basrd Write Filter是另一套Write Filter,以File-Based為基礎,出現在Windows XP Embedded、Windows Embedded Standard 2009、Windows Embedded Standard 7以及Windows Embedded 8 Standard
與EWF一樣,早期在XPe或是WES2009時,並沒有提供GUI介面,開發人員必須透過Command Line方式操作,到了WES7 SP1,官方提供GUI的操作介面,WE8S也同樣提供GUI的介面
接下來介紹在WE8S下該如何設定FBWF
- 首先在Windows UI下按右鍵,選擇”All apps”後,找到”Command Prompt”,點選右鍵選擇”Run as administrator”
- 輸入”fbwfmgr“確認FBWF功能是存在的,並確認FBWF目前的狀態是否是DISABLED
- 在前面的步驟,我們使用Command Line的方式檢查FBWF的狀態,接下來我們開始來使用GUI的介面操作。首先滑鼠移至Desktop mode右下角,可以看到鎖頭的圖示,若是有將EWF一起Build至同一個Run-time image中,就會看到2個鎖頭圖示,右邊那個為FBWF utility
- 將FBWF utility開啟,在GUI介面下可以看到目前FBWF的狀態為Disabled
- 點選”Configure…”進入設定畫面,可看到各個volume的保護狀態,目前未啟用,狀態皆為”Unprotected”
- 點選”Volume C:”,選擇”Filter state enabled”,可以看到Currently的狀態是”Disabled”,After reboot的狀態是”Protected”
- 接著移至”Exclusion List”和”Cache Content”,可以看到”Volume name”沒有任何Volume存在,Exclusion List和Cache Content也沒任何資訊存在,因為尚未重開機,仍是Disabled狀態
- 接下來重開機,我們重覆步驟1與步驟2,用Command Line方式查看FBWF狀態,此時FBWF已經為Enabled,被保護的Volume為C:
- 接著把FBWF utility啟動,看到Current state為”Enabled”,Protected Volume為”C:”,另外Runtime information的部分,可以看到for directory與file data的使用量
- 點選”Show exclusion list”來查看例外清單有哪些
- 點選”Show cache content”來查看已經紀錄至快取的資料有哪些,這邊也許會有疑問,為什麼會有快取??這算是FBWF一樣滿不錯的功能,雖然我們有開放Exclusion List可以直接存取,但總是會有意外發生的時候,比如說不小心蓋掉某AP最後的log,這時可透過Cache content來還原誤蓋的檔案
- 接下來,示範該如何新增Exclusion List,回到FBWF utility,並點選”Exclusion List” (Regfdata啟用FBWF即會自動加入)
- 先選擇Volume name,此處我們以”C:”範例,接著往下移至”Add path”,輸入我們要設定例外的Path
- 假設這邊要設定的Path路徑為”C:UsersHowDesktopLockdown_FBWF”,我們就在Add path地方輸入”UsersHowDesktopLockdown_FBWF”後,按一下旁邊”+”的符號即可,要注意Add path中,不需加入”C:”,否則將無法新增
- 新增完成後按”OK”,並且要重開機,Exclusion List才會生效
