|
Ostatnio, na fundamencie kultury komputerowej, trochę się nudzię, bo komputerowy pokój to system Win7 32-bitowy, wersja 7.5, która jest stosunkowo nowa, w obliczu narzędzia do łamania punktów zamrożenia w 6.X, czyli tych Anti czy coś podobnego, dla 7. X jest praktycznie odporny. Ale w końcu, czy można nauczyć się obsługi komputerów, czy można go nie wyrzucać? Trochę zrozumienia: nie jest to to samo co karta przywracania i przywracanie dysku twardego Lenovo, jego czas uruchamiania to moment, gdy system się uruchamia i ładuje, czyli po tym, co nie modyfikuje MBR, by przejąć kontrolę nad bootem. Cóż, to dużo łatwiejsze, po prostu zabić go w rejestrze i usunąć pliki sterowników oraz uruchamiacz usług. Ogólna struktura struktury pliku punktu zamrożenia jest następująca: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Ponieważ punkt zamrożenia przejmuje dysk twardy i inne sterowniki urządzeń, te przejęte sterowniki również muszą zostać ponownie zmienione: A) Wartość klucza napędu jest określana przez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Zmieniono z powrotem na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Odpowiadająca wartość klawiatury jest określana przez
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Poprawione
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Odpowiadająca wartość klucza myszy i innych wskaźników jest określana przez
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Poprawione
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Odpowiadająca wartość kluczowa wolumin pamięci jest następująca:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Poprawione
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Uwaga: Z wyjątkiem klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, w HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 i HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001, wszystkie wymagają modyfikacji.) )
Usuń klucz, w którym znajduje się LogonDll.dll, lokalizacja rejestru [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Albo bezpośrednio wyszukaj wartość klucza DeepFrz i napraw wszystko. Ale teraz modyfikacja w oryginalnym systemie jest nieważna, ale nadal nie działa próba w trybie awaryjnym, ponieważ po uruchomieniu trybu awaryjnego nadal jest przejęta przez Sang Xin. Czy to naprawdę bezowocne – restart F8 ma tryb naprawy, wygląda na to, że załadowany jest inny system naprawczy, a nie oryginalna podstawa systemu, po wejściu wybierz wiersz poleceń, użyj Del, aby usunąć te pliki, a potem wejść w regedit, żeby zamontować SYSTEM głównego systemu. Zaczynamy operację. Z powodu zaniedbania nie zwróciłem uwagi na przejęcie dysku urządzenia, więc komputer w pokoju komputerowym nie może się teraz uruchomić – ( ▼-▼ ) – Jestem naprawdę zabawny – rejestr jest trochę skomplikowany. Zasada punktu zamrożenia wymaga dokładniejszego zrozumienia, a część z przejęciem urządzenia nie została dokładnie przebadana. Poczekaj na dalszą analizę.
| 
Opublikowano 23.10.2014 22:22:22
|
|
|
