通过WINPE系统强制卸载WES7-EWF

方法一：通过注册表禁用 EWF（推荐）

1. 加载系统注册表（D:替换为WES系统盘盘符）：

       reg load HKLM\SYS D:\Windows\System32\Config\SYSTEM

2. 打开注册表编辑器： regedit

   定位到：
       HKEY_LOCAL_MACHINE\SYS\ControlSet001\Services\Ewf
       或
       HKEY_LOCAL_MACHINE\SYS\ControlSet001\Services\EwfMgr

3. 修改以下键值：
   找到 Start 键，将数值改为 4（表示禁用此驱动程序）。
   可修改的键：
       HKEY_LOCAL_MACHINE\SYS\ControlSet001\Services\Ewf     Start = 4
       HKEY_LOCAL_MACHINE\SYS\ControlSet001\Services\EwfMgr  Start = 4
       HKEY_LOCAL_MACHINE\SYS\ControlSet001\Services\EwfVol  Start = 4

4. 卸载注册表：
       reg unload HKLM\SYS

5. 重启进入系统，EWF 驱动将不再加载，相当于被“强制卸载”。

方法二：删除 EWF 驱动文件（可选）

1. 在 WinPE 中打开系统分区（如 D:\Windows\System32\drivers）
2. 删除以下文件：
       ewf.sys       ewfdrv.sys       ewfvol.sys
3. 删除启动项文件（仅当已备份或确认安全）
       D:\Windows\System32\EwfMgr.exe

注意事项
- 修改注册表前务必备份 SYSTEM 文件：
       copy D:\Windows\System32\Config\SYSTEM D:\SYSTEM.bak