ewfmgr命令及参数详解-阿里云开发者社区

ewfmgr命令及参数详解

2017-11-13 2418

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

在XPE的运行镜像上，我们通常使用ewfmgr.exe来管理和控制EWF。本文将主要介绍ewfmgr的各项命令参数和使用方法。如果想在构建好的XPE运行镜像上运行EWF的管理控制程序，我们首先需要在开发阶段加入EWF Manager Console application组件和CMD - Windows Command Processor组件。

我们调用EWF的管理控制程序(ewfmgr.exe)的方法通常是在XPE的开始菜单->运行->CMD，打开命令行环境，然后基本的语法如下：
EWFMGR <drive-letter>(optional) [options]

参数描述：
drive-letter：指定的分区路径。这是一个可选的参数，通常是指的EWF需要保护的配置分区。用于显示EWF保护分区的状态及其需要对保护分区所做的操作。使用驱动器字母来表示被保护的分区。例如：ewfmgr c:。

options：指定被保护分区的操作选项。对于EWF保护分区，我们可以使用Gauge命令来显示EWF分区已经写入或使用的百分比。用来管理和配置EWF分区的命令通常有：Disable, Enable, Commit, SetLevel, Restore, Checkpoint, Description, and Nocmd。

命令描述：
All：显示所有EWF保护分区的信息，或者对所有EWF保护分区执行指定的命令。例如：disable, enable, commit,checkpoint 和 restore。使用用例：ewfmgr c: -all 或者 ewfmgr c: -all -enable；

Checkpoint：开启一个新的覆盖层级别。与 SetLevel= [Current Overlay Level + 1] 用法相同；

Commit：针对指定的EWF保护分区,提交所有的操作到当前级别的覆盖层，并且重新设置当前覆盖层的级别为1。Commit 命令可以和disable命令联用，同时完成提交操作和关闭EWF功能的操作。使用 Commit 命令后，覆盖层的信息将会在下次系统重启后写入到被保护分区。提交覆盖层的过程将在下次启动过程中快速完成。使用用例：ewfmgr c: -commit

CommitandDisable：提交当前级别覆盖层上的所有数据到被保护分区，同时关闭指定分区的EWF覆盖层。覆盖层的信息将会在下次系统重启后写入到被保护分区。你可以在EWF RAM模式下使用-live命令将覆盖层的信息立即提交到EWF保护分区，或者关闭EWF功能，使用-live参数则不需要重新启动，所做操作会立刻生效。-live 命令仅仅支持 EWF RAM 模式。使用用例：ewfmgr c: -commitanddisable -live；

Description：与许用户在一个覆盖层级别上关联一个ASCII字符串。该命令可以和SetLevel命令联用。使用用例：ewfmgr c: -description；

Disable：关闭指定保护分区上的覆盖层，即关闭指定保护分区上的EWF功能。使用用例：ewfmgr c: -disable；

Enable：开启指定保护分区上的过滤写入功能，启用覆盖层，开启缓存。当启用EWF后覆盖层级别为1，并且新的覆盖层级别创建为1。使用用例：ewfmgr c: -enable；

Gauge：显示指定的EWF分区使用的百分比。Gauge 参数只能够支持 EWF Disk 模式。你可以通过这个值来确定一个指定的增长值，这个值可以被用于监测EWF空间的使用情况。使用用例：ewfmgr -gauge=5；当EWF的覆盖层每一次达到指定的增长百分比时，系统将会显示一个通知信息。例如，如果 EWF 分区当前使用了30%，那么下次通知信息将会出现在使用率达到35%，40%，45%...以次类推一直到100%。缺省的增长值为1，可以设定的有效值为1至100。ewfmgr 进程不能够通过按下Ctrl-C来终止。

NoCmd：清除当前已提交但未执行的命令。使用用例：ewfmgr c: -NoCmd；

Persist：在指定的EWF保护分区上为该分区上所有的覆盖层指定一个64字节的预留区域；

Restore：恢复覆盖层的优先级. 与 SetLevel=[Current Overlay Level – 1] 用法一致；

SetLevel：设置当前的覆盖层级别为指定的级别。有效的设置值为：

[Current overlay level + 1]：开启一个新的覆盖层；
[0 - Current overlay level]. 设置级别，将丢弃指定级别的覆盖层上的所有数据；
[- Level]. 删除指定级别上的所有数据。

除了-live命令以外，所有的EWF命令均需要在冲启计算机后才能生效。所以你需要在执行EWF命令后重新启动计算机。

示例：

以下的示例假设EWF的保护分区为C:，以下的命令和显示结果将演示如何查询EWF保护分区的当前状态：
Ewfmgr c:

EWF 管理程序将显示以下结果:
Protected Volume Configuration
Type            DISK
State           DISABLED
Boot Command    NO_CMD
    Param1        0
    Param2        0
Persistent Data ""
Volume ID       D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00
Device Name     "\Device\HarddiskVolume4"
Max Levels      3
Clump Size      512
Current Level   1
Disk space used for data 0 bytes
Disk space used for mapping 0 bytes
Memory used for mapping 0 bytes

以下的命令将演示如何开启C盘上的EWF功能：
EwfMgr c: -enable

EWF 管理程序将显示开启命令已经提交. 在下次启动计算机的时候该命令将会执行；EWF 管理程序将显示以下结果:
Protected Volume Configuration
Type            DISK
State           DISABLED
Boot Command    NO_CMD
Param1        0
Param2        0
Persistent Data ""
Volume ID       D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00
Device Name     "\Device\HarddiskVolume4"   "C:\"
Max Levels      3
Clump Size      512
Current Level   1
Disk space used for data 0 bytes
Disk space used for mapping 0 bytes
Memory used for mapping 0 bytes
*** Enabling overlay
Protected Volume Configuration
Type            DISK
State           DISABLED
Boot Command    ENABLE
Param1        0
Param2        0
Persistent Data ""
Volume ID       D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00
Device Name     "\Device\HarddiskVolume4"
Max Levels      3
Clump Size      512
Current Level   1

以下的例子将演示如何检查EWF分区及状态信息:
EWFMGR

EWF 管理程序将显示以下结果:
Overlay Configuration
Volume Size            2048030208
Segments               8192
Segment Size           249856
Free segments          8192
Max Levels             3
Max Protected Volumes 1
Protected Volumes      1
Overlay volume percent full 0.00
Protected volumes
Arc Path "\Device\HarddiskVolume4"

本文转自雷志刚 51CTO博客，原文链接:http://blog.51cto.com/leizhigang/238237

ewfmgr命令及参数详解

热门文章

最新文章

相关电子书

相关实验场景