|
Nedávno, na základe počítačovej kultúry, sa trochu nudím, stane sa, že počítačová miestnosť je Win7 32-bitový systém, verzia s mrazivým bodom 7.5, ktorá je relatívne nová, vzhľadom na nástroj na prelomenie mraziacej hodnoty 6.X, teda Anti alebo niečo podobné, pre 7. X je v podstate imúnny. Ale nakoniec, dá sa naučiť počítače, nedá sa to nevyhodiť? Takže, trochu pochopenia, nie je to to isté ako obnovovacia karta a obnova pevného disku od Lenova, jeho čas štartu je, keď sa systém nabootuje a načíta, alebo až potom, teda nemodifikuje MBR, aby prevzal kontrolu nad bootovaním. No, je to oveľa jednoduchšie, stačí ho zabiť v registri a vymazať jeho súbory s ovládačmi a spúšťač služieb. Potom je všeobecná štruktúra štruktúry súboru bodov zmrazenia nasledovná: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Keďže bod mrazu ovláda pevný disk a ďalšie ovládače zariadení, tieto ukradnuté ovládače zariadení musia byť tiež vrátené späť: A) Kľúčová hodnota diskovej jednotky je určená pomocou HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Zmenené späť na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Zodpovedajúca hodnota klávesu klávesnice je určená ako
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Opravené späť
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Zodpovedajúca kľúčová hodnota myši a ďalších ukazovateľových zariadení je určená vzťahom
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Opravené späť
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Zodpovedajúca kľúčová hodnota úložného objemu je nasledovná
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Opravené späť
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Poznámka: Okrem kľúča HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet je rovnaký obsah pod HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 a HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001, ktoré je potrebné upraviť.) )
Vymažte kľúč, kde sa LogonDll.dll nachádza, miesto registra [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Alebo priamo vyhľadajte kľúčovú hodnotu DeepFrz a všetko opravte. Teraz je však úprava v pôvodnom systéme neplatná, no stále nefunguje skúšať núdzový režim, pretože keď ho spustíte, stále je to unesené Sang Xin. Je to naozaj zbytočné – reštart F8 má režim opravy, zdá sa, že sa načíta iný systém opráv, nie pôvodný systémový základ, po vstupe vyber príkazový riadok, použi Del na vymazanie týchto súborov a potom vstúp do regeditu na pripojenie hlavného systému systému. Začnime operáciu. Pre nedbanlivosť som nevenoval pozornosť únosu zariadenia na jednotku, takže počítač v počítačovej miestnosti momentálne nemôže zapnúť – ( ▼-▼ ) - Som naozaj vtipný - register je trochu komplikovaný. Princíp zamrznutia je potrebné lepšie pochopiť a časť o prevzatiu zariadenia nebola dôkladne preskúmaná. Počkajte na ďalšiu analýzu.
| 
Zverejnené 23. 10. 2014 22:22:22
|
|
|
