深入探讨WindowsXP系统文件保护功能

当你安装一个应用程序却不料引起Windows崩溃的时候,很有可能是因为应用程序改写了关键的Windows系统文件,导致系统崩溃 。在文件被修改后,结果往往不可预知 。系统可能正常运行,或者出一些错误,或者完全崩溃 。幸运的是,Windows 2000, XP,和Server 2003应用了一个称作Windows文件保护(Windows File Protection,WFP)机制,它可以防止关键的系统文件被改写 。在这篇文章中,我将解释何谓WFP和它是如何工作的 。我还要告诉你如何修改或忽略WFP的行为 。(注释:尽管在Windows 2000, XP,和Server 2003上,WFP的运行没什么区别,但这篇文章中的信息,包括注册表相关条目和SFC语法,是针对XP的 。)
Windows文件保护是如何工作的
WFP被设计用来保护Windows文件夹的内容 。WFP保护特定的文件类型,比如SYS、EXE、DLL、OCX、FON和TTF,而不是阻止对整个文件夹的任何修改 。注册表键值决定WFP保护的文件类型 。
当一个应用程序试图替换一个受保护的文件,WFP检查替换文件的数字签名,以确定此文件是否是来自微软和是否是正确的版本 。如果这两个条件都符合,则允许替换 。正常情况下,允许替换系统文件的文件种类包括Windows的服务包,补丁和操作系统升级程序 。系统文件还可以由Windows更新程序或Windows设备管理器/类安装程序替换 。
如果这两个条件没有同时满足,受保护文件将被新文件替换,但将很快被正确的文件替换回来 。当这种情况发生时,Windows会从Windows安装CD或者计算机的DLLCache文件夹中复制正确版本的文件 。
Windows文件保护并不仅仅通过拒绝修改来保护文件,它还可以拒绝删除 。来看看WFP的做法,打开WINDOWSSYSTEM32文件夹并将CALC.EXE文件重命名为CALC.OLD 。当你这样做时,一个消息将提示你如果改变这个文件的扩展名可能会导致这个文件不可用 。点击Yes按钮确认这个警告 。现在,等几分钟后按F5键以刷新文件系统的视图,完成替换可能要花些时间 。当文件最终被替换后,Windows会在事件日志中做相应的记录 。
关于WFP值得关注的一点是它和Windows安装程序结合的很紧密 。无论何时,如果Windows安装程序需要安装一个受保护的文件,它就把这个文件交给WFP,而不是自己试图去安装这个文件 。然后由WFP判断是否允许安装 。
系统文件检查
虽然自动文件替换会节省时间,但也存在需要手动干预的情况 。例如,你可能不愿意空等着WFP去判断受保护的文件是否已经被替换 。幸运的是,你可以用一个名为系统文件检查(SFC)的工具手动控制WFP 。
SFC是一个命令行工具,需要在命令提示符窗口下运行 。它的语法像这样:
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
/SCANNOW选项通知SFC立即扫描所有受保护的系统文件 。如果在扫描过程中发现一个错误的文件版本,这个错误的版本将被替换为微软正确的版本 。当然,这意味着你可能必须有Windows安装CD,最新的服务包或者升级补丁 。
/SCANONCE参数通知WFP在系统下次启动的时候扫描受保护的系统文件 。在扫描过程中,任何错误的文件将被正确的版本替换 。正如这个参数名的意思,这个扫描只进行一次 。之后的系统启动将恢复正常,SFC不再运行 。
/SCANBOOT参数和/SCANONCE选项类似 。区别在于SCANONCE只在Windows下次启动时扫描受保护的文件,而SCANBOOT参数则在Windows每次启动时都扫描系统文件 。如果需要,这两个参数将替换错误的系统文件,这可能需要你提供正确文件版本的拷贝 。
/REVERT选项用来关闭SFC,例如,假设你使用SCANBOOT选项在每次系统启动的时候扫描所以保护的文件 。正如你所能想到的,这确实会增加计算机启动的总时间 。最后,你可能厌倦了漫长的启动时间,想关闭SFC 。只需要简单的使用SFC /REVERT,就可以在启动的时候关闭SFC 。

推荐阅读