Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.
Установка
1. Скопируйте следующие файлы из хранилища для вашего целевого устройства.
| Имя файла | Целевой_каталог + имя файла |
| ewfdll.dll | Windows\system32\ewfdll.dll |
| ewfinit.dll | Windows\system32\ewfinit.dll |
| Ewfmgr.exe | Windows\system32\ewfmgr.exe |
| Ewf.sys | Windows\system32/driver\ewf.sys |
| ewf.inf | Windows\inf\ewf.inf |
| ewfntldr | NTLDR |
2. Запустите regedit.exe
Щелкните правой кнопкой мыши на ключевом HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Enum\Root\ и выберите разрешения.
Измените разрешения для пользователей на полную и нажмите кнопку Применить.
3. Скопируйте следующие изменения и ProtectedVolume%% к ARC путь тома, который требуется защитить.Вы можете найти АРК путь для загрузочного тома в boot.ini — это будет выглядеть следующим образом «мульти (0) диск (0) RDISK (0) раздел (1)».
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"=hex(7):45,00,57,00,46,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EWF\FBA]
"OVSize"=dword:00000000
"OVLevel"=dword:00000001
"PVConfigs"=dword:00000001
"EwfEnable"=hex(7):31,00,00,00,00,00
"EnableLazyWrite"=hex(7):30,00,00,00,00,00
"PVDisk"=hex(7):30,00,00,00,00,00
"PVPart"=hex(7):31,00,00,00,00,00
"PVOptimize"=hex(7):30,00,00,00,00,00
"PVType"=hex(7):31,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe\tServices\EWF\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EWF\Parameters\Protected]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetS\ervices\EWF\Parameters\Protected\Volume0]
"Type"=dword:00000001
"ArcName"="%ProtectedVolume%"
"Enabled"=dword:00000000
4. Импорт сохраненного файла реестра.
5. Перезагрузить
EWF должен быть интегрирован теперь у вас в образ, но он по умолчанию отключен. Вы можете включить его, запустив в командной строке ewfmgr C: -enable
Удаление
1. Найдите следующие файлы на целевом устройстве и удалить их
| Имя файла |
| Windows\system32\ewfdll.dll |
| Windows\system32ewfinit.dll |
| Windows\system32\ewfmgr.exe |
| Windows\system32\drivers\ewf.sys |
| Windows\infewf.inf |
| NTLDR |
2. Скопируйте оригинальный NTLDR из хранилища в корневой каталог целевых устройств.
3. Запустите regedit.exe
4. Удалить EWF из следующего раздела
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class/{71A27CDD-812A-11D0-BEC7-08002BE2092F}] "UpperFilters"
5. Удалить ключ в реестре
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EWF]
6. Перезагрузить компьютер.
EWF должен быть полностью удален из вашей системы. Пожалуйста, не забудьте скопировать NTLDR перед перезагрузкой!