|
Viime aikoina, tietokonekulttuurin pohjalta, minulle on tullut vähän tylsää, sattumalta tietokonehuone on Win7:n 32-bittinen järjestelmä, jäätymispisteen 7.5 versio, joka on suhteellisen uusi, kun otetaan huomioon 6.X:n jäätymispisteen murtamistyökalu, ne Anti tai vastaava, 7:lle. X on käytännössä immuuni. Mutta loppujen lopuksi, voiko tietokoneita oppia, etkö voi heittää sitä pois? Joten, pieni ymmärrys, hän ei ole sama kuin palautuskortti ja Lenovon kiintolevyn palautus, hänen käynnistysaikansa on silloin, kun järjestelmä käynnistyy ja latautuu, tai sen jälkeen, eli hän ei muokkaa MBR:ää kaapatakseen käynnistyksen. No, se on paljon helpompaa, tappaa hänet rekisteristä ja poistaa hänen ajuritiedostonsa ja palvelukäynnistimensä. Tällöin jäätymispisteen tiedostorakenteen yleinen rakenne on seuraava: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Koska jäätymispiste kaappaa kiintolevyn ja muut laiteajurit, myös kaapatut laiteajurit on vaihdettava takaisin: A) Levyaseman avainarvo määräytyy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Muutettu takaisin muotoon HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Näppäimistön vastaava näppäinarvo määräytyy seuraavasti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Korjattu takaisin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Hiiren ja muiden osoitinlaitteiden vastaava näppäinarvo määräytyy seuraavasti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Korjattu takaisin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Vastaava tallennustilavuuden avainarvo on
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Korjattu takaisin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Huomautus: Lukuun ottamatta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet-näppäintä, sama sisältö löytyy HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002:n ja HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001:n kohdalla, joita kaikkia täytyy muokata.) )
Poista avain, jossa LogonDll.dll sijaitsee, rekisterin sijainti [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Tai etsi suoraan DeepFrz-avainarvoa ja korjaa kaikki. Mutta nyt alkuperäisen järjestelmän muutos on virheellinen, mutta vieläkään ei toimi yrittää vikasietotilassa, koska kun käynnistät vikasietotilan, se kaapataan edelleen, Sang Xin. Onko se todella turhaa—käynnistä F8:n uudelleenkäynnistys on korjaustilassa, näyttää siltä, että toinen korjausjärjestelmä ladataan, ei alkuperäinen System Foundation, syötyäsi valitse komentorivi, käytä Deliä poistaaksesi tiedostot ja sitten syötä regedit liittääksesi pääjärjestelmän SYSTEMin. Aloitetaan operaatio. Huolimattomuuden takia en kiinnittänyt huomiota laiteaseman kaappaukseen, joten tietokone tietokoneessa ei voi käynnistyä tällä hetkellä – ( ▼-▼ ) – olen todella hauska – rekisteri on hieman monimutkainen. Jäätymispisteen periaatetta täytyy ymmärtää tarkemmin, eikä laitteen kaappausta ole tutkittu kunnolla. Odota lisäanalyysiä.
| 
Julkaistu 23.10.2014 22.22.22
|
|
|
