前言:
Windows文件保护机制(WFP),它可以防止关键的系统文件被改写。
WFP被设计用来保护windows文件夹的内容,这决定了WFP只保护特定的文件类型。如SYS、EXE、OCX、FON和TTF,而不是阻止对整个文件夹的任何修改。
当一个应用程序试图替换一个受保护的文件时,WFP就会检查替换文件的数字签名,已确定次文件是否是正确的版本。
1.SFC命令工具的使用(6个命令)
1)SFC(System File Checker),默认情况下,Windows文件保护一直处于启用状态,只有当Dllcache文件夹损坏或者不能使用时才有必要使用sfc /scannow、sfc /scanonce或 sfc/scanboot以修复 Dllcache目录的内容。
2)以管理员身份登录WindowsXP,将WindowsXP的安装光盘放入光驱,在“命令提示符”窗口中键入“SFC/scannow”命令后回车,
“系统文件检查器”开始自动扫描系统文件。
scannow 立即扫描所有受保护的系统文件
scanonce下次启动时扫描所有受保护的系统文件
scanboot每次启动时扫描所有受保护的系统文件
revert 将扫描返回到默认设置
purgecache 清除文件环缓存
cachesize=x 设置文件缓存大小
2.通过注册表控制WFP和SFC
我们可以通过修改几个不同的注册表键值以控制WFP的行为,用户可以再每次运行SFC时直接操作这些键值,比如控制指定文件缓存或者安装文件的位置。
步骤:
①win+r输入regedit,打开注册表。
②依次展开以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WInLogon
③SFCDisabled是控制SFC是激活还是无效的,默认是0,设置为2可以关闭
综上,我们初步的了解了SFC,知道了他的功能是非常强大的,现在的理解只是初步的,还需要我们继续探究。
