|
Son zamanlarda, bilgisayar kültürünün temelinde, biraz sıkıldım, bilgisayar odası Win7 32-bit sistemi, donma noktası 7.5 versiyonu, nispeten yeni, 6.X'in donma noktası kırma aracı karşısında, Anti falan benzeri bir şey, 7 için olduğu ortaya çıktı. X temelde bağışık. Ama sonuçta, bilgisayar öğrenebilir misin, atamaz mısın? Yani, biraz anlayış göstermek gerekirse, o geri yükleme kartı ile Lenovo'nun sabit disk geri yükleme kartı ile aynı değil, önyükleme süresi sistemin açılıp yüklendiği zamandır ya da sonra, yani MBR'yi önyüklemeyi ele geçirmek için değiştirmez. Aslında bunu yapmak çok daha kolay, onu kayıt defterinden öldürüp sürücü dosyalarını ve hizmet başlatıcısını silmek. O zaman donma noktası dosya yapısının genel yapısı şöyledir: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Donma noktası sabit disk ve diğer cihaz sürücülerini ele geçirdiği için, ele geçirilen bu aygıt sürücülerinin de geri değiştirilmesi gerekir: A) Disk sürücüsünün anahtar değeri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr tarafından belirlenir
Tekrar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr olarak değiştirildi
B) Klavyenin ilgili tuş değeri şu şekilde belirlenir
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Düzeltildi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Fare ve diğer işaret cihazlarının ilgili anahtar değeri şu şekilde belirlenir
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Düzeltildi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Depolama hacminin karşılık gelen anahtar değeri şöyledir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Düzeltildi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Not: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet tuşu dışında, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 ve HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 altında da aynı içerik vardır ve bunların hepsi değiştirilmelidir.) )
LogonDll.dll bulunduğu anahtarı, kayıt defteri konumunu sil [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Ya da doğrudan DeepFrz anahtar değerini arayıp hepsini düzeltin. Ama şimdi, orijinal sistemdeki değişiklik geçersiz ama güvenli modda denemek yine de işe yaramıyor, çünkü güvenli modu başlattığınızda hâlâ ele geçirilmiş oluyor, Sang Xin. Gerçekten boşuna mı—F8'i yeniden başlatmanın tamir modu var, görünüşe göre başka bir onarım sistemi yükleniyor, orijinal sistem temeli değil, girdikten sonra komut satırını seç, Del ile dosyaları sil ve sonra ana sistemin SYSTEM'ini bağlamak için regedit gir. Hadi operasyona başlayalım. İhmalkarlıktan dolayı cihaz sürücüsünün kaçırılmasına dikkat etmedim, bu yüzden bilgisayar odasındaki bilgisayar şu anda çalışamıyor – ( ▼-▼ ) - gerçekten komik - kayıt defteri biraz karmaşık. Donma noktası ilkesi daha iyi anlaşılmalı ve cihaz kaçırma kısmı tam olarak incelenmedi. Daha fazla analiz için bekleyin.
| 
Yayınlandı 23.10.2014 22:22:22
|
|
|
