ewfmgr命令及参数详解

在XPE的运行镜像上，我们通常使用ewfmgr.exe来管理和控制EWF。本文将主要介绍ewfmgr的各项命令参数和使用方法。如果想在构建好的XPE运行镜像上运行EWF的管理控制程序，我们首先需要在开发阶段加入EWF Manager Console application组件和CMD - Windows Command Processor组件。 q+j.
)e

3CKd[=-Z

我们调用EWF的管理控制程序(ewfmgr.exe)的方法通常是在XPE的开始菜单->运行->CMD，打开命令行环境，然后基本的语法如下： 'zRi ;:UHA

EWFMGR (optional) [options] eT(/D/jan

)A@ } mIs"

参数描述： fZq_]1(/uP

drive-letter：指定的分区路径。这是一个可选的参数，通常是指的EWF需要保护的配置分区。用于显示EWF保护分区的状态及其需要对保护分区所做的操作。使用驱动器字母来表示被保护的分区。例如：ewfmgr c:。 >}uDQwX8

!nm[ZrS P

options：指定被保护分区的操作选项。对于EWF保护分区，我们可以使用Gauge命令来显示EWF分区已经写入或使用的百分比。用来管理和配置EWF分区的命令通常有：Disable, Enable, Commit, SetLevel, Restore, Checkpoint, Description, and Nocmd。 Gz_[|,i

!vrdu OB

命令描述： G*`H2-,

All：显示所有EWF保护分区的信息，或者对所有EWF保护分区执行指定的命令。例如：disable, enable, commit,checkpoint 和 restore。使用用例：ewfmgr c: -all 或者 ewfmgr c: -all -enable； m|CB')

`Z' h[-2`

Checkpoint：开启一个新的覆盖层级别。与 SetLevel= [Current Overlay Level + 1] 用法相同； y8!#G-
d5

MB"TwtW

Commit：针对指定的EWF保护分区,提交所有的操作到当前级别的覆盖层，并且重新设置当前覆盖层的级别为1。Commit 命令可以和disable命令联用，同时完成提交操作和关闭EWF功能的操作。使用 Commit 命令后，覆盖层的信息将会在下次系统重启后写入到被保护分区。提交覆盖层的过程将在下次启动过程中快速完成。使用用例：ewfmgr c: -commit ?R MOy$L

J?1U'/Wx2

CommitandDisable：提交当前级别覆盖层上的所有数据到被保护分区，同时关闭指定分区的EWF覆盖层。覆盖层的信息将会在下次系统重启后写入到被保护分区。你可以在EWF RAM模式下使用-live命令将覆盖层的信息立即提交到EWF保护分区，或者关闭EWF功能，使用-live参数则不需要重新启动，所做操作会立刻生效。-live 命令仅仅支持 EWF RAM 模式。使用用例：ewfmgr c: -commitanddisable -live； +%'!+r l

zQ=c6xvm8

Description：与许用户在一个覆盖层级别上关联一个ASCII字符串。该命令可以和SetLevel命令联用。使用用例：ewfmgr c: -description； VU F$,F9

.IkQo`_s:

Disable：关闭指定保护分区上的覆盖层，即关闭指定保护分区上的EWF功能。使用用例：ewfmgr c: -disable； S5(VdMd"^

-L6YLe%w

Enable：开启指定保护分区上的过滤写入功能，启用覆盖层，开启缓存。当启用EWF后覆盖层级别为1，并且新的覆盖层级别创建为1。使用用例：ewfmgr c: -enable； t"Tv(W?_

+f"q^RIU

Gauge：显示指定的EWF分区使用的百分比。Gauge 参数只能够支持 EWF Disk 模式。你可以通过这个值来确定一个指定的增长值，这个值可以被用于监测EWF空间的使用情况。 使用用例：ewfmgr -gauge=5；当EWF的覆盖层每一次达到指定的增长百分比时，系统将会显示一个通知信息。例如，如果 EWF 分区当前使用了30%，那么下次通知信息将会出现在使用率达到35%，40%，45%...以次类推一直到100%。缺省的增长值为1，可以设定的有效值为1至100。ewfmgr 进程不能够通过按下Ctrl-C来终止。 vP. ^j7
wB

&WV&_z

NoCmd：清除当前已提交但未执行的命令。使用用例：ewfmgr c: -NoCmd； 8ZN"-]*

k,h
 /B

Persist：在指定的EWF保护分区上为该分区上所有的覆盖层指定一个64字节的预留区域； #O,;3S

E'iN==p_:

Restore：恢复覆盖层的优先级. 与 SetLevel=[Current Overlay Level – 1] 用法一致； N_liKhq

!e?2 x@J

SetLevel：设置当前的覆盖层级别为指定的级别。有效的设置值为： ?8!\VNC.

1)t*l
;.

[Current overlay level + 1]：开启一个新的覆盖层； Px?zih!6

[0 - Current overlay level]. 设置级别，将丢弃指定级别的覆盖层上的所有数据； \\P*w$c 

[- Level]. 删除指定级别上的所有数据。 9GtVcucN

N oRPvFv

除了-live命令以外，所有的EWF命令均需要在冲启计算机后才能生效。所以你需要在执行EWF命令后重新启动计算机。 N(`XqeC*

c0Yc~&RF

示例： "t%Jj89a\

TTGWOC

以下的示例假设EWF的保护分区为C:，以下的命令和显示结果将演示如何查询EWF保护分区的当前状态： d:{}0hmxI

Ewfmgr c: ?2,{+d |

wz>[CXpi_

EWF 管理程序将显示以下结果: SqZ .}s

Protected Volume Configuration tIS.,CEQF

Type DISK aYM~Ub:x{

State DISABLED /vC!__K9:

Boot Command NO_CMD CY.
4>,

Param1 0 P-<1vfThH

Param2 0 *Ms&WYN-

Persistent Data "" zl| XZ

Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00 6nR EuT'k

Device Name "\Device\HarddiskVolume4" K|OPtYeb

Max Levels 3 fFYoZ/\

Clump Size 512 q VI0?B x

Current Level 1 O1)\!=& .

Disk space used for data 0 bytes "^!y>]j#A

Disk space used for mapping 0 bytes Dte5g),R

Memory used for mapping 0 bytes D6l. x]K

kd\Hj~*

以下的命令将演示如何开启C盘上的EWF功能： DcdEt=\)h

EwfMgr c: -enable >:> W=

V+y"L>K

EWF 管理程序将显示开启命令已经提交. 在下次启动计算机的时候该命令将会执行；EWF 管理程序将显示以下结果: |\?u-O3

Protected Volume Configuration \3^ue0

Type DISK RK &>!^

State DISABLED kVs YB

Boot Command NO_CMD 2a48(~<_

Param1 0 /}m*|cG/

Param2 0 .E}lAd.Mn

Persistent Data "" ji1vLu4|t

Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00
ngl +`|u

Device Name "\Device\HarddiskVolume4" "C:\" g gx_h

Max Levels 3 Tz,9>uN

Clump Size 512 j fY7ich

Current Level 1 =Nxkr0])!

Disk space used for data 0 bytes GBbnR:hM

Disk space used for mapping 0 bytes l?U=s7s0?

Memory used for mapping 0 bytes }aVZ\PDg

*** Enabling overlay y>P+"Z.K%}

Protected Volume Configuration a[-!X7,IU

Type DISK 

State DISABLED 6p9fq3~7Y

Boot Command ENABLE Z}J5sifr

Param1 0 9L=mS

Param2 0 !6!)H8rX

Persistent Data "" ,i2-

Volume ID D2 02 96 49 00 0E 59 96 02 00 00 00 00 00 00 00 2}hJe+#v

Device Name "\Device\HarddiskVolume4" W0qR? jc

Max Levels 3 a3@E`Z

Clump Size 512 9]4
Q@%

Current Level 1 Abc{<4 z0?

%yRXOt2(

以下的例子将演示如何检查EWF分区及状态信息: J4Gzp~{

EWFMGR fvu{(Tb

+VIA@`4

EWF 管理程序将显示以下结果: #;[G>-tC

Overlay Configuration Xw H>F7HPe

Volume Size 2048030208 \"l z,bT

Segments 8192 %:3XYO.w-

Segment Size 249856 ^

Free segments 8192 IJ^~,+

Max Levels 3 =2\2Sp

Max Protected Volumes 1 H|% J"

Protected Volumes 1 !"^Zr]Qt+\

Overlay volume percent full 0.00 JFT$1^n

Protected volumes >wW{ $

Arc Path "\Device\HarddiskVolume4"

----------------

文章完.

摘自互联网LZG