|
V zadnjem času, na temelju računalniške kulture, se počutim nekoliko dolgočasno, saj se zgodi, da je računalniška soba Win7 32-bitni sistem, različica z zamrzovalno točko 7.5, ki je razmeroma nova, glede na orodje za razbijanje zamrzovalnih točk 6.X, tistih Anti ali nekaj podobnega, za 7. X je v bistvu imun. Ampak navsezadnje, ali se lahko naučiš računalnikov, ali ga ne smeš zavreči? Torej, malo razumevanja, ni enak kot obnovitvena kartica in Lenovo obnova trdega diska, njegov čas zagona je takrat, ko se sistem zažene in naloži, oziroma po tem, torej ne spreminja MBR, da bi prevzel nadzor nad zagonom. No, veliko lažje je, preprosto ga ubiti v registru in izbrisati njegove datoteke gonilnikov ter zaganjalnik storitev. Splošna struktura strukture datoteke z zamrzovalnimi točkami je naslednja: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Ker zamrzovalna točka prevzame nadzor nad trdim diskom in drugimi gonilniki naprav, je treba tudi te ugrabljene gonilnike naprav ponovno zamenjati: A) Vrednost ključa diska določa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr Spremenjeno nazaj v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr B) Ustrezna vrednost tipke na tipkovnici je določena z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass Popravljeno nazaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass C) Ustrezna ključna vrednost miške in drugih kazalcev je določena z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass Popravljeno nazaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass D) Ustrezna ključna vrednost shranjevalnega volumna je z HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap Popravljeno nazaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap (Opomba: Razen ključa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet je ista vsebina pod HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001, ki ju je treba spremeniti.) ) Izbrišite ključ, kjer se nahaja LogonDll.dll, lokacija registra [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Ali pa neposredno poišči vrednost ključa DeepFrz in vse popravi. Zdaj pa je sprememba v izvirnem sistemu neveljavna, vendar še vedno ne deluje poskus v varnem načinu, ker je ob zagonu varnega načina še vedno prevzet, Sang Xin. Ali je res nesmiselno – ponovno zaženi F8 ima način popravila, zdi se, da je naložen drug sistem popravila, ne originalna sistemska osnova, po vstopu izberi ukazno vrstico, uporabi Del za brisanje teh datotek in nato vnese regedit, da priklopiš glavni sistemski sistem. Začnimo operacijo. Zaradi malomarnosti nisem bil pozoren na ugrabitev pogona naprave, zato računalnik v računalniški sobi trenutno ne more zagnati – ( ▼-▼ ) - Res sem smešen - register je nekoliko zapleten. Načelo zamrznitvene točke je treba bolje razumeti, del ugrabitve naprave pa ni bil temeljito razučen. Počakajte na nadaljnjo analizo.
|