ITPub博客

首页 > Linux操作系统 > Linux操作系统 > windows文件保护

windows文件保护

原创 Linux操作系统 作者:wodemingzizhen 时间:2006-05-19 19:28:20 0 删除 编辑
我的机从2000 XP 2003都试过这样.我也不知道为什么会出现这个东西!答案是这个问题比较讨厌的是系统文件保护。[@more@]
微软为了提高Windows系统的可靠性和稳定性,从Windows 2000开始使用一种叫做WFP(Windows File Protection,Windows文件保护)的机制。现在,Windows 2000和Windows XP都有这个功能。本文将为你详细讲解WFP如何使用以及如何设置。

  WFP是如何工作的

  WFP把某些文件认为是非常重要的系统文件,例如所有的dll文件,exe、fon、ocx、sys还有tff等后缀的文件。在Windows 2000/XP刚装好后,系统会自动备份这些文件到一个专门的叫做dllcache的文件夹,这个dllcache文件夹的位置默认保存在%SYSTEMROOT%system32dllcache。当你使用了Windows系统一段时间之后,会发现一些其它类型的文件,例如cpl、cpx、inf、rsp、tlb等文件也会当作重要系统文件保护起来,并且WFP会根据这些文件建立一个目录,显示了所有受保护文件的正确版本和类型。一旦检测到文件被替代或者覆盖,就可以自动从备份的文件中恢复。而如果备份的文件由于某些原因也不可用,那么Windows就会要求你插入系统光盘,以便从光盘上恢复(图一)。你也许已经意识到了,dllcache这个文件夹会变得很大。在下文中我也会说明如何减小这个文件夹的体积。

使用情况

  WFP的最基本的用途,就是保护系统文件不被更改。

  对于系统管理员,这项功能能够减轻他们的负担。他们不用在由于某些用户的错误操作而忙碌。而对于一般用户,这功能更是可以当作救命稻草,从此不用再害怕由于安装错误的软件造成系统的不正常工作。不过对于那些有经验的高级用户,WFP也会成为一种负担,因为WFP会消耗一定的CPU和硬盘资源。

  怎样证明WFP工作正常

  在前面我们已经知道,WFP的主要功能就是为了防止重要的系统文件被错误删除或者替换,那么我们要验证WFP是否工作正常也就很简单了,只要我们人为地删除或者修改一些系统文件,然后看看WFP机制能否把被替换的文件恢复正常,就知道WFP是否正常工作了在运行中输入"%systemroot%system32"并回车,打开System32文件夹,随便选中一个受保护文件(以cmd.exe为例),然后给这个文件重命名(这里假设改为cmd.exe.bak),确定后等待几秒钟,然后按F5 刷新一下,你可以看到,除了改名后的cmd.exe.bak,这里又有了一个新的cmd.exe,这就是操作系统从备份的文件中恢复出来的。

  使用和自定义WFP

  Windows文件保护可以用多种方式自定义它的运作,最简单的办法就是配置组策略(组策略只有Windows 2000和Windows XP Professional有,Windows XP Home没有)。在运行中输入"gpedit.msc"然后回车,可以打开组策略编辑器。依次展开Computer Configuration-Administrative Templates,-System(计算机配置-管理模板-系统),然后选择Windows File Protection(Windows文件保护)文件夹(图二)。双击每一项就可以分别进行设置。

Set Windows File Protection scanning(设置Windows文件保护扫描),这个策略可以让你决定是否在Windows启动的时候自动进行WFP扫描。如果你启用了这个策略,将会延长系统的启动时间。所以一般情况下最好不要启用它。如果你要设置WFP的其它运行方式,还可以在命令行下使用sfc/scanonce,sfc/scanboot,sfc/revert。其中sfc/scanonce会在下次启用电脑时扫描所有被保护系统文件一次,sfc/scanboot会在每次启动时都扫描一次,sfc/revert则会把扫描的设置初始化。

Hide the file scan progress window(隐藏文件扫描进度窗口),启用这个设置后在进行WFP扫描的时候就不会显示扫描的进度窗口。

  Limit Windows File Protection cache size(限制Windows文件保护缓存大小),默认情况下,WFP会保存大量的系统文件备份(这主要取决于你的硬盘的大小),这样做虽然使得恢复系统文件变得简单易行,但是却占用了太多的硬盘空间。如果你不进行任何设置,那么对于WFP的备份文件是没有大小限制的。这是一件很糟糕的事情,所以我们要启用这个策略,然后输入指定的大小(MB为单位)。如果你的硬盘不是很大,建议你设置100MB就可以,不过有时候扫描时会需要你插入光盘。否则,最好设置200到300MB左右,这样,在恢复文件的时候需要你插入光盘的次数会少很多。而这个操作也可以在命令行的模式下设置,具体的格式是:sfc/cachesize=x,这个X就是你要指定的缓存大小。

  Specify Windows File Protection cache location(指定Windows文件保护缓存位置),默认情况下,缓存文件被保存在%SystemRoot%system32dllcache文件夹内,也许你的系统盘空间已经很紧张了,不过其它分区还很空,那么启用这个策略,并指定一个位置,缓存文件就会全部保存在那里。

  如果你要手工检查系统文件,可以在运行中输入CMD,然后回车,打开命令行界面,然后输入sfc/scannow回车,这样系统就会开始检查所有受保护的文件,在这过程中你也许会被要求插入Windows的光盘。而命令行下的SFC命令,除了上面我们列举的sfc/scannow,sfc/scanonce等之外,还有其它几个有用的参数:在Windows 2000中,使用sfc/cancel将会取消所有挂起的扫描;sfc/quiet 这将自动更换所有被改动过的受保护系统文件,而不会提醒用户。sfc /purgecache 将会清空所有备份的受保护文件,而在Windows 2000中运行这个命令后还会自动进行一次扫描;sfc /revert,使用在Windows XP中,把所有的WFP有关的设置全部初始化,而Windows 2000中相应的命令是sfc /enable。

  禁用WFP

  作为一个后台运行的服务,WFP会消耗一定的资源,如果你的电脑配置不是很高,那么就完全可以禁用,以便提高电脑性能。不过禁用后Windows的稳定性可能得不到保障,这个由你自己来决定。

  如果你要禁用WFP,需要修改注册表,同时,在注册表中也可以完成其他的一些设置。

  运行regedit打开注册表编辑器,展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,这里有几个键是需要我们设置的:

  SFCDisable,值为0时打开了WFP,这也是默认的状态。双击后可以改成1,这将禁用WFP,并且需要重启动一下才能生效;值为2,仅仅会在下一次启动时禁用;值为4,将启用,并且不会显示提醒用户的窗口。

  SFCQuota,可以决定允许WFP使用的最大硬盘空间,直接输入大小就可以,单位为MB,默认为300MB。而设置为FFFFFFFF就可以备份本地硬盘上所有的系统文件。

  在启用WFP的情况下替换系统文件

  为了保证系统的稳定性,你可能会打开WFP保护,但有时候你也许会需要正确替换某一个受保护的系统文件,这就比较麻烦了,因为按照常规方法进行操作后系统马上会用备份的文件进行恢复。下载这个脚本后整个解压缩到一个文件夹中,然后双击执行其中的replacer.cmd文件,接着你会看到图三的界面。假设我们要把%systemroot%system32文件夹下的cmd.exe文件替换为C盘根目录下的cmd.exe.bak文件,按照屏幕提示,从Windows资源管理器中拖动cmd.exe文件到 命令行窗口上,然后松开鼠标,这时可以看见命令行窗口已经得到了目标文件的路径(图四),按下回车,接着同样是从资源管理器中拖动原文件cmd.exe.bak到命令行窗口,然后松手,继续回车,这时看到的界面如同图五。如果确认一切无误,就按下Y键,然后回车,稍等片刻文件的替换工作就能够完成,这时你需要重启动电脑,以便改动生效。

[摘自http://www.bapu.cn/]
---------------------------------------------------------------------------------------------------------------

你安装的聊天工具替换了windows的文件安装要求放入安装光盘就可以了。
用系统盘修复一下,一定能行
杀毒试试,9.30号出现了恶鹰新的变种。感染以后出现这个问题。
WINXP的安装盘

关于取消这个 你可以试试 开始 运行 CMD

SFC /PURGECACHE 然后你选取消

SFC /CANCEL

SFC /QUIET

SFC /CACHESIZE=0 也可以


不错!我就按照上面的方法做.我的2003又正常啦.俺还以为中毒了哦。我装个photoshop不可能把我的系统文件给覆盖掉的吧?肯定是IE有漏洞造成的!

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/183680/viewspace-836446/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 昨天的事
请登录后发表评论 登录
全部评论

注册时间:2010-01-31

  • 博文量
    178
  • 访问量
    5550255