首页 > 系统相关 >FBWF(File-Based Write Filter)是Windows操作系统中的一种功能,主要用于保护系统的存储设备(如硬盘)免受意外写入或恶意软件的影响。它通过将所有对存储设备的写操作重定向到

FBWF(File-Based Write Filter)是Windows操作系统中的一种功能,主要用于保护系统的存储设备(如硬盘)免受意外写入或恶意软件的影响。它通过将所有对存储设备的写操作重定向到

时间:2024-04-28 15:36:49浏览次数:53  
标签:缓存 Based fbwfmgr 恶意软件 写入 exe FBWF 存储设备

FBWF(File-Based Write Filter)是Windows操作系统中的一种功能,主要用于保护系统的存储设备(如硬盘)免受意外写入或恶意软件的影响。它通过将所有对存储设备的写操作重定向到一个临时缓存中,从而保护存储设备的内容不被修改。

FBWF的主要优点包括:

  1. 简化系统管理:可以在不影响系统运行的情况下,管理系统的配置和状态。
  2. 提高系统稳定性:可以防止不必要的写入操作导致系统出现问题。
  3. 增强系统安全性:可以减少对存储设备的直接写入,从而降低恶意软件对系统的影响。

FBWF也有一些限制和注意事项,例如需要特定的硬件支持、需要配置合适的缓存大小以避免性能问题等。在配置和使用FBWF时,需要根据实际情况权衡其优缺点,并进行适当的配置和管理。

FBWF(File-Based Write Filter)最初起源于Windows Embedded操作系统。它是为嵌入式系统设计的一种功能,旨在保护嵌入式设备的存储设备免受损坏或恶意修改。这种技术最早在Windows XP Embedded中出现,后来在Windows Embedded Standard和Windows Embedded Compact等嵌入式操作系统版本中得到了继续使用和发展。

FBWF的起源可以追溯到对嵌入式系统的要求,这些系统需要在资源受限的环境中运行,并且对系统的可靠性和稳定性有着极高的要求。通过限制对存储设备的写入操作,FBWF可以有效地保护系统免受意外写入或恶意软件的影响,从而提高了嵌入式系统的稳定性和安全性。

随着技术的发展,FBWF等类似的功能也逐渐被引入到了桌面版和服务器版的Windows操作系统中,用于提高系统的稳定性和安全性。

FBWF的底层原理基于将写入操作重定向到一个临时缓存中,而不是直接写入存储设备。具体来说,其原理包括以下几个关键步骤:

  1. 写入拦截:当系统收到写入存储设备的操作时,FBWF会拦截这些写入操作,并将它们重定向到一个特定的缓存区域,而不是直接写入存储设备。

  2. 缓存管理:重定向的写入操作将被存储在一个临时缓存中,而不是直接写入存储设备。FBWF会管理这个缓存区域,包括缓存的大小、位置以及缓存刷新策略等。

  3. 写入过滤:在缓存中的写入操作被存储后,FBWF可以根据预先定义的规则对这些写入操作进行过滤。例如,可以配置哪些文件或目录需要被保护,哪些文件可以被写入,以及如何处理写入操作等。

  4. 缓存刷新:根据预先定义的策略或条件,FBWF会定期或在特定事件触发时将缓存中的写入操作刷新到实际的存储设备中。这样可以确保存储设备的内容与缓存中的内容保持同步,并且缓存中的写入操作最终会被应用到存储设备中。

  5. 异常处理:FBWF通常包括异常处理功能,可以在发生异常情况时采取预定义的操作,如自动恢复到初始状态、生成警报通知管理员等。

通过这些步骤,FBWF可以保护存储设备免受意外写入或恶意修改,提高系统的稳定性和安全性。同时,它还可以提供灵活的配置选项和异常处理功能,以适应不同场景和需求的应用。

FBWF依赖于以下文件、驱动和API来实现其功能:

  1. Fbwflib.dll:这是FBWF的核心动态链接库,包含了FBWF的主要功能实现。它提供了与FBWF相关的API和函数,用于管理写入过滤器的配置、状态和操作。

  2. Filter Manager API:FBWF可能使用Windows的过滤器管理器API来与文件系统驱动程序进行通信和交互。这些API允许FBWF与操作系统的I/O过滤器驱动程序进行通信,以便拦截、处理和重定向文件系统操作。

  3. 文件系统驱动程序:FBWF依赖于操作系统的文件系统驱动程序来实现文件的读取、写入和管理。它与文件系统驱动程序交互,以拦截和重定向写入操作,并管理缓存以及写入过滤策略。

  4. Windows Management Instrumentation (WMI):FBWF可能使用WMI来提供对其功能的管理和监控。通过WMI,管理员可以远程配置和监视FBWF的状态、属性和行为。

  5. 系统服务:FBWF通常作为系统服务运行,因此它可能依赖于与系统服务相关的API和组件来启动、停止、配置和管理服务。

这些文件、驱动和API共同作用,使FBWF能够拦截、处理和重定向文件系统操作,从而实现对存储设备的保护和管理。

FBWF已经经历了几轮版本迭代,每个版本都带来了改进和新功能。具体的版本迭代取决于所涉及的操作系统和使用情景,但通常包括以下几个主要版本:

  1. Windows XP Embedded:FBWF最早出现在Windows XP嵌入式系统中,为嵌入式设备提供了保护存储设备的功能。

  2. Windows Embedded Standard 2009:FBWF在Windows Embedded Standard 2009中继续存在,并可能进行了一些改进和优化。

  3. Windows Embedded Standard 7:随着Windows Embedded Standard 7的推出,FBWF可能得到了进一步的改进,以适应新的操作系统架构和需求。

  4. Windows Embedded 8 Standard:FBWF也被包含在Windows Embedded 8 Standard中,并可能随着这个版本的发布进行了一些更新和改进。

  5. Windows 10 IoT Enterprise:FBWF在Windows 10 IoT Enterprise中继续存在,并根据需要进行了适应性调整和更新。

每个版本的改进通常包括性能优化、功能增强、错误修复以及对新硬件和操作系统特性的支持。在每个版本中,FBWF都致力于提供更稳定、更安全的存储设备保护功能,以满足不断变化的嵌入式系统和嵌入式设备的需求。

FBWF(File-Based Write Filter)经历了几个发展阶段,主要包括以下几个方面:

  1. 嵌入式系统阶段:最初,FBWF主要应用于嵌入式系统,如Windows XP Embedded、Windows Embedded Standard和Windows Embedded Compact等。在这些系统中,FBWF用于保护嵌入式设备的存储设备免受损坏或恶意修改。

  2. 桌面和服务器系统阶段:随着时间的推移,FBWF等类似的功能逐渐被引入到桌面版和服务器版的Windows操作系统中。在这些系统中,FBWF被用于提高系统的稳定性和安全性,尤其是在一些对系统稳定性要求较高的环境中,如自动化设备、ATM机、Kiosk系统等。

  3. 功能增强阶段:随着技术的不断发展,FBWF的功能也在不断增强。例如,支持更灵活的配置选项、更高级的缓存管理、更精细的权限控制等。这些功能的增强使得FBWF能够更好地适应不同的应用场景和需求。

  4. 整合到Windows 10 IoT Core:FBWF等功能也被整合到了Windows 10 IoT Core中,作为其一部分,用于保护物联网设备的存储设备。这进一步扩展了FBWF的应用范围,使其在物联网领域中发挥着重要作用。

总的来说,FBWF经历了从嵌入式系统到桌面和服务器系统的扩展,以及功能不断增强的发展阶段,逐渐成为Windows操作系统中重要的一部分,用于提高系统的稳定性和安全性。

FBWF(File-Based Write Filter)的功能可以大致分为以下几个分类:

  1. 写入保护功能:FBWF的核心功能是保护存储设备免受意外写入或恶意修改。它通过将写入操作重定向到临时缓存中,而不是直接写入存储设备,从而确保存储设备的内容不被修改。

  2. 缓存管理功能:FBWF通常包括对缓存的管理功能,可以配置缓存的大小、位置以及缓存刷新策略等。这些功能可以帮助管理员优化系统性能,并确保缓存的有效使用。

  3. 配置选项:FBWF提供了多种配置选项,可以根据实际需求进行设置。例如,可以配置哪些文件或目录需要被保护,哪些文件可以被写入,以及如何处理写入操作等。

  4. 异常处理功能:FBWF通常包括异常处理功能,可以在发生异常情况时采取预定义的操作,如自动恢复到初始状态、生成警报通知管理员等。

  5. 权限控制:一些FBWF实现还提供了权限控制功能,可以限制哪些用户或应用程序可以对存储设备进行写入操作,从而进一步加强系统的安全性。

  6. 监控和日志功能:一些FBWF实现提供了监控和日志功能,可以记录写入操作的详细信息,以便管理员进行故障诊断和性能优化。

通过这些功能分类,管理员可以根据实际需求选择合适的FBWF实现,并进行适当的配置和管理,以保护系统的存储设备并提高系统的稳定性和安全性。

FBWF(File-Based Write Filter)在各种场景下都有广泛的应用,其中包括但不限于以下几个方面:

  1. 嵌入式系统:最初,FBWF主要应用于嵌入式系统中,如自动化设备、点售机、医疗设备等。在这些设备中,保护存储设备免受损坏或恶意修改是至关重要的,而FBWF能够有效地保护存储设备,确保系统的稳定性和可靠性。

  2. 零售和服务行业:在零售和服务行业中,Kiosk系统、自助结账系统、自动售货机等设备通常使用FBWF来保护存储设备,以防止未经授权的访问或恶意软件的安装,从而确保设备的正常运行和安全性。

  3. 银行和金融机构:ATM机和其他金融设备是银行和金融机构的重要设备,需要高度的稳定性和安全性。FBWF可以帮助这些机构保护存储设备,防止数据泄露或恶意修改,确保用户的资金安全和服务的可靠性。

  4. 工业控制系统:工业控制系统中的计算机设备通常运行关键的控制程序,因此需要保护存储设备免受损坏或恶意修改。FBWF可以帮助工业控制系统保持稳定运行,防止生产中断和安全事故的发生。

  5. 物联网设备:随着物联网技术的发展,越来越多的设备连接到互联网,并具有远程管理和控制功能。FBWF可以帮助物联网设备保护存储设备,防止未经授权的访问或恶意修改,确保设备的安全性和可靠性。

总的来说,FBWF在各种行业和场景中都有广泛的应用,可以帮助保护存储设备,提高系统的稳定性和安全性,从而确保设备的正常运行和用户数据的安全性。

FBWF通常具有一些命令行参数,用于配置、管理和监控其功能。这些命令行参数可以通过命令提示符或批处理脚本来调用。一些常见的命令参数包括:

  1. 启用/禁用FBWF:用于启用或禁用FBWF的命令,以控制写入过滤器是否处于活动状态。

  2. 配置参数:用于配置FBWF的参数,如缓存大小、写入过滤规则、刷新策略等。

  3. 状态查询:用于查询FBWF的当前状态和配置信息,以了解写入过滤器的运行情况。

  4. 日志管理:用于管理FBWF生成的日志文件,包括查看、清除或导出日志等操作。

  5. 异常处理:用于配置FBWF在发生异常情况时的处理方式,如自动恢复到初始状态、生成警报通知等。

这些命令参数可以根据FBWF的具体实现和版本而有所不同,建议查阅相关文档或手册以获取详细信息和使用说明。

一些FBWF命令的应用示例:

  1. 启用FBWF:启用FBWF以保护存储设备免受写入操作影响。

    Copy Code
    fbwfmgr.exe /enable
  2. 禁用FBWF:禁用FBWF,允许对存储设备进行写入操作。

    Copy Code
    fbwfmgr.exe /disable
  3. 配置缓存大小:设置FBWF缓存的大小,以控制写入操作的暂存空间。

    Copy Code
    fbwfmgr.exe /setcache 1024
  4. 添加写入过滤规则:配置FBWF以过滤特定文件或文件夹的写入操作。

    Copy Code
    fbwfmgr.exe /addexclusion C:\Folder\FilePath
  5. 查询FBWF状态:查询FBWF当前的状态和配置信息。

    Copy Code
    fbwfmgr.exe /getstate
  6. 清除日志文件:清除FBWF生成的日志文件。

    Copy Code
    fbwfmgr.exe /clearlog
  7. 配置刷新策略:设置FBWF的刷新策略,以控制何时将缓存中的写入操作应用到存储设备。

    Copy Code
    fbwfmgr.exe /setcommit 60

    这里的 /setcommit 60 表示设置刷新策略为每隔60分钟自动将缓存中的写入操作应用到存储设备。

  8. 查询缓存信息:查询FBWF当前的缓存状态和使用情况。

    Copy Code
    fbwfmgr.exe /getcacheinfo
  9. 配置异常处理:设置FBWF在发生异常情况时的处理方式,例如自动恢复到初始状态。

    Copy Code
    fbwfmgr.exe /setexclusionex 1

    这里的 /setexclusionex 1 表示设置在异常情况下自动恢复到初始状态。

  10. 生成日志文件:配置FBWF以生成日志文件,记录写入过滤器的活动和事件。

    Copy Code
    fbwfmgr.exe /setlog 1

    这里的 /setlog 1 表示启用日志记录功能。

  11. 重启并清除缓存:有时在测试或临时修改后,您可能需要重启系统并清除所有FBWF缓存,以确保这些更改不会永久写入原始存储。

    Copy Code
    fbwfmgr.exe /commitanddisable

    执行此命令后,系统会将当前所有缓存的更改提交到磁盘,然后禁用FBWF,并可能需要重启计算机。

  12. 查看排除列表:查看当前设置为排除的文件或目录列表,这些文件或目录不受FBWF的影响。

    Copy Code
    fbwfmgr.exe /displayexclusions
  13. 删除特定排除项:如果需要更改或更新排除项列表,可以删除特定的排除项。

    Copy Code
    fbwfmgr.exe /deleteexclusion C:\Folder\FilePath
  14. 立即提交文件或目录的更改:在某些情况下,您可能希望立即将缓存中的更改提交到实际存储,而不等到自动刷新。

    Copy Code
    fbwfmgr.exe /commit C:\Folder\FilePath

    使用此命令可以选择性地提交特定文件或目录的更改,而不影响其他缓存数据。

  15. 重启并启用FBWF:如果您已经对系统进行了更改并希望在重启后立即启用FBWF,可以使用以下命令:

    Copy Code
    fbwfmgr.exe /enableandrestart

    这将确保在系统重启后,FBWF会被激活,保护系统的完整性。

  16. 查询保护状态:查看FBWF的当前保护状态,以确定是否已启用或禁用。

    Copy Code
    fbwfmgr.exe /getprotection

    通过此命令,您可以了解系统当前是否处于保护状态。

  17. 设置保护状态:您可以使用以下命令来手动启用或禁用FBWF的保护状态。

    Copy Code
    fbwfmgr.exe /setprotection on    (启用)
    fbwfmgr.exe /setprotection off   (禁用)

    这对于在特定情况下需要临时禁用FBWF保护时非常有用,例如进行系统维护或更新。

  18. 配置缓存大小:您可以调整FBWF的缓存大小,以适应系统需求和存储容量。

    Copy Code
    fbwfmgr.exe /setdisksize 512    (设置缓存大小为512 MB)

    使用此命令可以根据系统要求调整缓存大小,确保系统具有足够的缓存空间来处理写入操作。

  19. 查询磁盘保护状态:除了FBWF保护状态外,您还可以查询磁盘的保护状态。

    Copy Code
    fbwfmgr.exe /getdiskstate

    这可以帮助您了解存储设备是否处于受保护状态,并可能需要额外的注意。

  20. 设置异常自动恢复延迟:您可以配置FBWF在异常情况下自动恢复的延迟时间。

    Copy Code
    fbwfmgr.exe /setexclusionexdelay 30

    这里的 30 表示设置异常自动恢复的延迟时间为30秒。

  21. 查询异常恢复延迟时间:您可以使用以下命令查询当前设置的异常恢复延迟时间。

    Copy Code
    fbwfmgr.exe /getexclusionexdelay

    这可以帮助您确认异常恢复的延迟时间是否已经按预期设置。

  22. 查询磁盘使用情况:您可以查看磁盘的使用情况,以了解FBWF缓存的实际使用情况。

    Copy Code
    fbwfmgr.exe /getdiskusage

    这对于监视系统存储的使用情况以及确定是否需要调整缓存大小非常有用。

  23. 设置缓存刷新频率:您可以调整FBWF缓存的刷新频率,以控制缓存更改何时写入实际存储。

    Copy Code
    fbwfmgr.exe /setdiskflushinterval 60

    这里的 60 表示设置缓存刷新的间隔时间为60秒,您可以根据需要进行调整。

  24. 查询缓存刷新频率:使用以下命令可以查询当前设置的缓存刷新频率。

    Copy Code
    fbwfmgr.exe /getdiskflushinterval

    这可以帮助您确认缓存刷新的间隔时间是否已经按预期设置。

  25. 设置缓存刷新模式:您可以选择设置缓存刷新的模式,是立即刷新还是延迟刷新。

    Copy Code
    fbwfmgr.exe /setdiskflushmode immediate

    或者

    Copy Code
    fbwfmgr.exe /setdiskflushmode delayed

    这两种模式都有各自的优劣,您可以根据实际需求进行选择。

  26. 查询缓存刷新模式:您可以使用以下命令查询当前设置的缓存刷新模式。

    Copy Code
    fbwfmgr.exe /getdiskflushmode

    这可以帮助您确认缓存刷新的模式是否已经按预期设置。

  27. 设置写保护:您可以设置FBWF以只读模式运行,以防止对系统的任何更改。

    Copy Code
    fbwfmgr.exe /setdiskstate writeprotect

    这将确保系统处于只读模式,任何尝试对系统进行写操作的尝试都会被拒绝。

  28. 查询写保护状态:使用以下命令可以查询当前的写保护状态。

    Copy Code
    fbwfmgr.exe /getdiskstate

    这可以帮助您确认系统是否处于只读模式。

  29. 清除缓存:您可以使用以下命令清除FBWF的缓存,以便重新开始。

    Copy Code
    fbwfmgr.exe /format

    请注意,这会清除所有缓存数据,并且可能会导致数据丢失,请谨慎使用。

  30. 查询缓存版本:使用以下命令可以查询当前的FBWF缓存版本信息。

    Copy Code
    fbwfmgr.exe /getversion

    这可以帮助您了解当前系统使用的FBWF版本。

  31.  

这些是一些基本的FBWF命令应用示例,实际应用中可以根据需求和环境进行调整和扩展。

标签:缓存,Based,fbwfmgr,恶意软件,写入,exe,FBWF,存储设备
From: https://www.cnblogs.com/suv789/p/18163816

相关文章

  • 论文笔记-Machine learning based flow regime recognition in helically coiled tube
    对象:进行了螺旋线圈中的自动两相流模式识别方法:X射线照相的空隙率测量数据+聚类+KNN、RF、SVM目标:模式识别关注特征:结果:聚类分类:模型是随机森林(RF)分类器、KNN分类器和SVM(参见第1节)。为了优化超参数并估计分类器精度,所有模型均采用嵌套5×5交叉验证方案,如图1所示。......
  • Enhancing ID and Text Fusion via Alternative Training in Session-based Recommend
    目录概MotivationAlterRec代码LiJ.,HanH.,ChenZ.,ShomerH.,JinW.,JavariA.andTangJ.EnhancingIDandtextfusionviaalternativetraininginsession-basedrecommendation.2024.概作者“发现”多模态推荐中ID和文本模态的结合做的并不好,于是乎提出......
  • 925-12路Base Camera link 影像复合光纤传输采集存储设备
    12路BaseCameralink影像复合光纤传输采集存储设备一、设备概述   全景图像采集设备主要用于12路BaseCameralink视频采集传输,通过QSFP+光纤传输输出,并实现服务器的采集存储,包括采集复合板卡,和光纤采集存储服务器,支持户外工业级温度,长期工作。 二、12......
  • 论文笔记-Two-phase flow regime identification based on the liquid-phase velocity
    对象:液相速度信息方法:CNN、LSTM、SVM目标:实现了水平管道内两相流态识别关注特征:从速度时间序列数据中提取的统计特征:均值、均方根和功率谱密度、最大速度比和最大速度差比结果:SVM-93.1%,CNN-94%,LSTM-不佳73.3%LSTM:总共使用了300秒的速度数据,然后将其分为180秒用于训练和......
  • 利用预测不确定性提高安卓恶意软件检测模型性能
    文献简介文献标题:MalCertainEnhancingDeepNeuralNetworkBasedAndroidMalwareDetectionbyTacklingPredictionUncertainty引用:Yang,Liminetal."BODMAS:AnOpenDatasetforLearningbasedTemporalAnalysisofPEMalware",IEEESymposiumonSecurity......
  • Causal Inference理论学习篇-Tree Based-From Uplift Tree to Uplift Forest
    upliftTree和causaltree一样,uplifttree[8]作为一种以分类任务为主的,同样是将因果效应apply到节点分割的标准中。区别是:causaltree:1)使用honest的方法;2)从effect的偏差和方差的角度切入指导树的构建,把分类问题转化为回归问题去做。3)逻辑上只支持两个treatment而uplifttree......
  • Causal Inference理论学习篇-Tree Based-Causal Forest
    广义随机森林了解causalforest之前,需要先了解其forest实现的载体:GENERALIZEDRANDOMFORESTS[6](GRF)其是随机森林的一种推广,经典的随机森林只能去估计labelY,不能用于估计复杂的目标,比如causaleffect,CausalTree、CauaslForest的同一个作者对其进行了改良。先定义一下矩估计......
  • 928. 尽量减少恶意软件的传播 II【并查集加暴力删边判断】
    题意不是很清晰:1.比如对于graph=[[1,1,0],[1,1,1],[0,1,1]],initial=[0,1]来说,可以发现结点的链接情况是0-1-2,感染源结点是0和1,若是按之前题目的要求,移除0和1都不会减少最终感染个数,但是应该返回结点0,因为其index小。但是应用此题的条件,就一定要返回结点1,因为移除结点1之......
  • WPF ContextMenu MenuItem style based on
    <Windowx:Class="WpfApp58.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.microsoft.......
  • Causal Inference理论学习篇-Tree Based-Causal Tree
    Tree-BasedAlgorithmsTree-based这类方法,和之前meta-learning类的方法最明显的区别是:这类方法把causaleffect的计算显示的加入了到了树模型节点分裂的标准中从response时代过渡到了effect时代。大量的这类算法基本围绕着树节点分裂方式做文章,普遍采用的是兼容性比较高......