|
Nedávno, na základech počítačové kultury, se trochu nudím, protože se stalo, že počítačová místnost je Win7 32-bitový systém, verze s mrazivým bodem 7.5, která je relativně nová tváří v tvář nástroji pro prolomení mrazivých bodů 6.X, tedy Anti nebo něco podobného, pro 7. X je v podstatě imunní. Ale koneckonců, dá se naučit počítače, nedá se to vyhodit? Takže, trochu pochopení, není stejný jako obnovitelná karta a obnovení pevného disku od Lenova, jeho doba spuštění je při spuštění a načítání systému, tedy až po něm, tedy neupravuje MBR, aby převzal kontrolu nad bootem. No, je to mnohem jednodušší – prostě ho zabijte v registru a smažte jeho soubory ovladačů a spouštěč služeb. Obecná struktura struktury souborů s bodem zmrazení je následující: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Protože bod mrazu ovládá pevný disk a další ovladače zařízení, je třeba tyto unesené ovladače zařízení také vrátit zpět: A) Klíčová hodnota diskové jednotky je určena pomocí HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Změněno zpět na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Odpovídající hodnota klávesy klávesnice je určena jako
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Opraveno zpět
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Odpovídající klíčová hodnota myši a dalších ukazatelů je určena jako
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Opraveno zpět
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Odpovídající klíčová hodnota úložného objemu je
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Opraveno zpět
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Poznámka: Kromě klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet je stejný obsah pod HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 a HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001, které je třeba upravit.) )
Smažte klíč, kde se LogonDll.dll nachází, místo v registru [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Nebo přímo vyhledejte klíčovou hodnotu DeepFrz a opravte to všechno. Ale teď je úprava v původním systému neplatná, ale stále nefunguje pokus v nouzovém režimu, protože když ho spustíte, stále je to uneseno, Sang Xin. Je to opravdu zbytečné – restart F8 má režim opravy, zdá se, že se načte jiný systém oprav, ne původní systémová základna, po vstupu vyber příkazovou řádku, použij Del pro smazání těchto souborů a pak vstoupni do regeditu pro připojení hlavního systému systému. Začněme operaci. Kvůli nedbalosti jsem nevěnoval pozornost únosu disku zařízení, takže počítač v počítačové místnosti momentálně nemůže nastartovat – (▼-▼) – Jsem opravdu vtipný – registr je trochu složitý. Princip bodu mrazení je třeba dále rozvinout a část s únosem zařízení nebyla důkladně prozkoumána. Počkejte na další analýzu.
| 
Zveřejněno 23.10.2014 22:22:22
|
|
|
