|
Nesen, pamatojoties uz datorkultūru, es jūtos nedaudz garlaicīgi, gadās, ka datortelpa ir Win7 32 bitu sistēma, sasalšanas punkta 7.5 versija, kas ir salīdzinoši jauna, saskaroties ar 6.X sasalšanas punkta plaisāšanas rīku, tiem Anti vai kaut ko citu, 7. X būtībā ir imūns. Bet galu galā, vai jūs varat iemācīties datorus, vai jūs to nevarat mest? Tātad, mazliet saprotot, viņš nav tāds pats kā atjaunošanas karte un Lenovo cietā diska atjaunošana, viņa sāknēšanas laiks ir tad, kad sistēma sāk un ielādējas, vai pēc tam, tas ir, viņš nemaina MBR, lai nolaupītu sāknēšanu. Nu, tas ir daudz vieglāk izdarāms, vienkārši nogaliniet viņu reģistrā un izdzēsiet viņa draivera failus un pakalpojumu palaidēju. Tad sasalšanas punkta faila struktūras vispārējā struktūra ir šāda: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Tā kā sasalšanas temperatūra nolaupa cieto disku un citus ierīču draiverus, arī šie nolaupītie ierīču draiveri ir jāmaina atpakaļ: A) Diskdziņa atslēgas vērtību nosaka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Mainīts atpakaļ uz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Atbilstošo tastatūras taustiņa vērtību nosaka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Labots atpakaļ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Peles un citu rādītājierīču atbilstošo atslēgas vērtību nosaka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Labots atpakaļ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Atbilstošā atmiņas apjoma atslēgas vērtība ir
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Labots atpakaļ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Piezīme: Izņemot taustiņu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, sadaļā HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 un HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 ir tāds pats saturs, kas visi ir jāmodificē.) )
Izdzēsiet atslēgu, kurā atrodas LogonDll.dll, reģistra atrašanās vietu [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Vai arī tieši meklējiet DeepFrz atslēgas vērtību un labojiet to visu. Bet tagad modifikācija sākotnējā sistēmā nav derīga, bet tā joprojām nedarbojas, lai mēģinātu drošajā režīmā, jo, startējot drošo režīmu, tas joprojām tiek nolaupīts, Sang Xin. Vai tas tiešām ir neauglīgs - restartēt F8 ir remonta režīms, šķiet, ka tiek ielādēta cita remonta sistēma, nevis sākotnējais sistēmas pamats, pēc ievadīšanas atlasiet komandrindu, izmantojiet Del, lai izdzēstu šos failus, un pēc tam ievadiet regedit, lai uzstādītu galvenās sistēmas SYSTEM. Sāksim darbību. Nolaidības dēļ es nepievērsu uzmanību ierīces diska nolaupīšanai, tāpēc dators datortelpā šobrīd nevar startēt - ( ▼-▼ ) - Es esmu patiešām smieklīgs - reģistrs ir nedaudz sarežģīts Tas ir jāsaprot sasalšanas punkta princips, un ierīces nolaupīšanas daļa nav rūpīgi izpētīta. Pagaidiet turpmāku analīzi.
| 
Publicēts 23.10.2014 22:22:22
|
|
|
