www.MegaLab.it

Un problema piuttosto frequente dei sistemi Windows è sempre stato la possibilità che un software di terze parti sovrascrivesse file di sistema. A seguito di tali cambiamenti l'utente poteva riscontrare errori nelle applicazioni e persino crash del sistema stesso se i file modificati erano indispensabili al sistema operativo installato.

A partire da Windows 2000, è stata introdotta una nuova funzionalità dal nome Windows File Protection (WFP) volta a proteggere dalla sostituzione e dalla modifica i file più essenziali per il corretto svolgimento delle attività del sistema operativo.

La situazione più comune è quella in cui un programma esterno al sistema che si appoggia a funzioni esportate da dll di sistema, installandosi, sovrascriva tali dll per assicurarsi che siano presenti, ma lo faccia con versioni più vecchie. Tale approccio però, potrebbe causare malfunzionamenti alle altre applicazioni installate.

In realtà, anche Windows Millennium integrava un servizio molto simile, denominato Software File Protection (SFP), ma differiva nei metodi di protezione dei file sebbene lo scopo fosse il medesimo.

L'intento di questo articolo è spiegare il comportamento del WFP e l'uso dell'utility sfc: chi volesse approfondire le funzionalità di SFP, può fare riferimento a questo articolo sul sito ufficiale Microsoft, ricordando come già detto che lo scopo, rispetto a WFP, rimane il medesimo.

Funzionamento del Windows File Protection

Il Windows File Protection è sempre in esecuzione in background, ed entra in azione quando riceve una notifica di modifica file proveniente da una cartella protetta. Quando rileva una modifica ad un file protetto, controlla in un catalogo di file se il nuovo file è la versione corretta. Se non lo è, cerca il file nelle seguenti locazioni:

• La cartella dllcache;
• Se il sistema è stato installato tramite la rete, cerca in essa il percorso d'installazione;
• Nel CD originale.

Se il file richiesto viene trovato automaticamente, WFP provvede a rimpiazzare il file senza chiedere nulla all'utente, altrimenti mostra un avviso all'utente informandolo dell'accaduto, tramite cui potrà cercare manualmente il file o bloccare la procedura.

Inoltre, viene registrato un evento nel visualizzatore eventi sia per la notifica sostituzione del file e sia, eventualmente, per la cancellazione di ripristino del file da parte dell'amministratore.

Però, in questo modo, anche l'aggiornamento del sistema con le ultime patch disponibili sarebbe impossibile, visto che WFP risostituirebbe subito i file di sistema aggiornati. Per questo motivo, la modifica dei file è consentita solo tramite i seguenti metodi:

• Service Pack (update.exe);
• Hotfix distribuiti tramite il file hotfix.exe;
• Upgrade del sistema operativo (winnt32.exe);
• Microsoft Windows Update;
• Windows Device Installer.

Qualunque altro metodo fuori da quelli appena elencati sfocerà nella sostituzione del file da parte del Windows File Protection.

Tutti i file SYS, DLL, EXE e OCX contenuti nel CD di Windows rientrano nei file protetti. Anche i font True Type (Tahoma.tth, Micross.ttf e Tahomabd.ttf) sono protetti.