önceki haline dönecektir , düşünün ki Bilgisayarınızı birine kullandırıyorsunuz yada evde çocuk var ve kullanması için bırakıyorsunuz , bilgisayarda onarılamayacak hatalara neden olsa bile yeniden başlattığınızda eski haline geliyor , yada bir yazılım deneyeceksiniz , koruma modunu açıyorsunuz ve yazılımı deniyorsunuz hoşunuza gitmezsse yazılımı kurmadan önceki haline geri getiriyorsunuz hemde hiçbir kalıntı bırakmadan , peki bu nasıl oluyor derseniz EWF driveri ile , aktive olduğunda windows herşeyi HDD yerine RAM (Hafıza) ya yazıyor böylece HDD yazma korumalı ouyor , eğer EWF sürücüsünü (Koruma modunu) kapatırsanız önceki yapılanları ya HDD e yazdırıp muhafaza edecek yada yazdırmayıp sileceksiniz bu size kalmış.
Peki bu EWF (Enhanced Write Filter) sürücüsü nereden geliyor ? derseniz , Windowsun Embedded (Gömülü) -Versionundan geliyor , bu bir windows çeşidi olup HDD i olmayan aletler için tasarlanmıştır , mesela telefon kulübeleri , tıbbi cihazlar , nakit sayan aletler... bu windowslarda yeralan EWF-Driver (Enhanced Write Filter) tüm işlemlerin Hafızaya yazılmasını sağlar

Hazırlık
Bu işlem için Bilgisayarınızda minimum 2 GB ram olmalıdır ,
EWF sürücüsüne sahip olmak için ise uygun Windowsun Embedded versionunu indirmeniz yeterlidir , Bu sürümlede herhangi bir kurulum sözkonusu değil , eğer 64 bit bir windows 7 niz varsa aşağıdakini indirmeniz gerekir:
Windows 7 Embedded SP1 64 Bit (2,9 GB)
Eğer 32 bit bir windows 7 niz varsa bunda koruma sistemi, kuracaksanız aşağıdaki gereklidir:
Windows 7 Embedded SP1 Toolkit (3,6 GB)
Peki bunları nereden temin edeceğim derseniz Buradaki linkten

Tüm linkleri indirdikten sonra çift tıklayıp ISO dosyasını çıkartın

EWF sürücüsünü çıkartalım
Şİmdi CAB dosyaları ile çalışabilecek bir paketleyiciye ihtiyacımız var tavsiyemiz 7-zip , Anasayfası

Windows 7 64 bit
Standard 7 SP1 64bit IBW.iso datasını 7-zip ile açalım ve DS > Packages > FeaturePack > amd64~winembenhanced-write-filter~~~~6.1.7601.175 dosyasına ulaşalım ve buradaki CAB dosyalarını seçip extract edelim (çıkartalım) çünkü bu CAB dosyalarının içinde EWF sürücüleri yeralıyor , çıkarttığımız dosyaları tekrar 7-zip ile açıp içlerinden ismi amd64 ile başlayıp uzun bir ismi olanını seçelim ve içerisinden ismi ewf ile başlayan 5 dosyayı kopyalayalım.

Windows 7 32 Bit
7-zip ile Standard 7 SP1 Toolkit.iso dosyasını açalım ve x86~winemb-enhanced-write-filter~~~~6.1.7601.17514~1.0 dosyasına ulaşıp içindeki CAB dosyalarını açalım sonrasında ismi ewf ile başlayan 5 dosyayı kopyalayalım , uğraşmak yerine Buradaki başlıktaki eklentiyi indirebilirsiniz (üstteki 5 dosyayı içerir)

pagefile.sys
Eğer birden fazla dizine sahipseniz C deki pagefile.sys yi diğer dizine atın nasılı Buradaki linkte anlatılmış.

Disk ID sini bulalım
Registry girdisini kullanmadan önce iki bilgiye daha ihtiyacımız var : 1. Disk ID si , 2. Sistem dizininin dizin Offset i , bunları bulmak için Cmd yi admin yetkilerinde çalıştıralım ve aşağıdaki komutları sırası ile verelim

diskpart
list disk
select disk x
detail disk

Not: x yerine sizdeki rakam gelecektir (genellikle 0)

Bu ID numarasını not alalım , bendeki : 4C2CD691

Disk Offsetini bulalım
eğer cmd yi kapatmadıysanız sadece aşağıdaki komutu verin

list partition
select partition 2
detail partition

Partition 1 - genellikle 100 Mb lık windowstaki gizli bölümdür
Partition 2 - genelde windows dizini olur (c)
Partition 3 - diğer dizin (D)

Offset in Byte : den sonraki rakamı biryere not alalım bendeki : 105906176

Registry düzenlemeleri
Bu kısımda windows registry si ile EWF sürücüsünü tanıştıracağız bunun için aşağıdaki registry kaydını uygulayalım

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ewf\Parameters\Protected\Volume0]
"Type"=dword:00000001
"Enabled"=dword:00000001
"CompareBeforeAlloc"=dword:00000000
"DiskSignature"=dword:00000000
"PartitionOffset"=hex(b):00,00,00,00,00,00,00,00

Artık son aşamaya yaklaştık sadece Disk ID ve Disk Offsetinin değerlerini registry ye gireceğiz bunun için aşağıdaki anahtara gidelim

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ewf\Parameters\Protected\Volume0

burada yeralan DiskSignature anahtarına çift tıklayalım ve Hexadezimal i seçip Disk ID rakamını girin , sonrasında PartitionOffset değerine çift tıklayın Dezimal i seçip Disk Offset değerini girin

EWF sürücüsünü gerekli yere kopyalayın
ewf.sys bir sürücüdür ve bunu "C:\Windows\System32\drivers" e kopyalayın diğer dördünü (hani yukarıda 5 adet dosya demiştikya) "C:\Windows\System32" ye kopyalayın ve Bilgisayarı yeniden başlatın , Koruma modu otomatik olarak aktif olacaktır .

Koruma modunu test
Öncelikle yazma koruması gerçekten çalışıyormu onu test edelim , mesela sisteminizde değişiklikler yapın , arkaplan resminizi değiştirin ... ve Pc yi yeniden başlatın ve Windows Sorun Giderme yi açın burada Windowsun düzgün başlatılamadığını iletisini göreceksiniz , bu da EWF sürücüsünün windowsun HDD e yazmasını engellediği anlamına geliyorki herşey yolunda demektir , sonrasında Windows normal starten i seçip windowsu açın öncesinde yaptığınız değişikliklerin yokolduğunu göreceksiniz.

Korumayı açma - kapatma
Windows yazma korumasını herzaman kullanmak olmaz , bu nedenle CMD yi admin yetkilerinde çalıştıralım ve aşağıdaki komutu verelim:

ewfmgr c

eğer aşağıdaki resimdeki gibi state - ENABLED yazıyorsa koruma aktiftir değilse DISABLED yazacaktır

Tüm EWF komutları toplu halde

Not : Üstteki tablodaki kırmızı nokta boşluk anlamına geliyor. Eğer üstte yazılanları birkaç tıkla gerçekleştirmek istiyorsanız sizler için kodladığımız "Windows 7 Protector İnstaller v1.1" yazılımdan faydalanabilirsiniz

Windows 7 Protector İnstaller v1.1

Windows 7 Protector İnstaller v1.1 (23.02.2013)
- X64 lerde çalışmama hatası giderildi
- Disk ID , Disk Offset , registry değeri girme adımları otomatikleştirildi
- Arayüz sadeleştirildi

Pagefile.sys nin rami işgal etmemesi ve değişikliklerin uygulanabilmesi için sistemi yeniden başlatmadan önce farklı sürücüye taşınması gerekmektedir , nasıl yapılacağı resimli şekilde burada anlatılmış , ilaveten koruma servisinin kurulması yada uninstall edilmesi işlemlerinden sonra mutlaka Reboot butonuna basarak yada bilgisayarınızı manuel yeniden başlatarak değişikliklerin etkin olmasını sağlayınız.

Not: Ewfmgr butonu koruma servisinin kurulumundan sonra kullanılabilir

Virus Total

SHA1: a71380eafdeef81be6c84d3c4d830d1a7ef3d230
MD5: 96bccc00ed80caeb651d739b0b04c294

Kaynak: Alman Com dergisi cak 2013 sayısı sayfa 30
Türkçeleştirme : Velociraptor