[треск] Альтернативное трещинование Genie 7.5 при замерзании в Win7

Недавно, на основе компьютерной культуры, мне стало немного скучно, так получилось, что компьютерная комната — это Win7 32-битная система, версия с точки замерзания 7.5, которая относительно новая, несмотря на инструмент для взлома точки замерзания в 6.X, эти Anti или что-то подобное, для 7. X практически невосприимчив. Но, в конце концов, можно ли научиться работать на компьютерах, разве не стоит их выбрасывать?

Итак, немного понимаю, что это не то же самое, что карта восстановления и восстановление жёсткого диска Lenovo, его время загрузки приходится на загрузку системы или после, то есть он не изменяет MBR, чтобы перехватить загрузку. Ну, это гораздо проще — просто убить его в реестре и удалить драйверные файлы и лаунчер сервиса.

Тогда общая структура структуры файла точки замораживания выглядит следующим образом:

• X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序，加载为系统服务，注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
• X:\Program Files\Faronics\_$Df\FrzState2k.exe
• X:\$Persi0.sys设置文件，保存了程序用户密码及所保护分区
• X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载，注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz]，最关键的东东，工作于系统最高级，不能被结束，在任务管理器中也看不到，可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替（过滤监控）了系统的磁盘管理、卷偖存管理、键盘、鼠标，你对硬盘的任何存取操作都已经在冰点的掌握中了，都必须经过它，再传到系统的驱动。
• X:\windows\system32\LogonDll.dll
  

Поскольку точка зависания захватывает жёсткий диск и другие драйверы устройств, эти захваченные драйверы также должны быть возвращены обратно:

A) Ключевое значение дисковода определяется HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Изменено обратно на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Соответствующее значение клавиши клавиатуры определяется как
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Исправлено обратно
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Соответствующее значение ключа мыши и других указательных устройств определяется как
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Исправлено обратно
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Соответствующее ключевое значение объёма хранения равно
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Исправлено обратно
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Примечание: за исключением ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 и HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 есть одинаковое содержимое — все они требуют изменений.) ）
Удалите ключ, где находится LogonDll.dll, адрес реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon]

Или напрямую поискать значение ключа DeepFrz и исправить всё.

Но теперь модификация в оригинальной системе недействительна, но попытка в безопасном режиме всё равно не работает, потому что при запуске безопасного режима она всё равно захвачена, Сан Син. Действительно ли это бесполезно? Перезапуск F8 имеет режим восстановления, кажется, что загружается другая система восстановления, а не оригинальная системная основа. После входа выберите командную строку, используйте Del для удаления этих файлов, а затем введите regedit для монтирования основной системы системы. Давайте начнём операцию. Из-за халатности я не обратил внимания на захват диска устройства, поэтому компьютер в компьютерной комнате сейчас не может завести — ( ▼-▼ ) — Я очень забавен — реестр довольно сложный. Принцип точки зависания нужно глубже понять, а часть с захватом устройств не была тщательно изучена. Ждите дальнейшего анализа.