|
Нещодавно, на підставі комп'ютерної культури, мені стало трохи нудно, сталося, що комп'ютерна кімната — це 32-бітна система Win7, версія з точки замерзання 7.5, яка відносно нова, на тлі інструменту для зламу точки замерзання в 6.X, тих Anti чи щось подібне, для 7. X фактично імунний. Але, зрештою, чи можна навчитися працювати на комп'ютерах, хіба не варто їх викидати? Тож, трохи розумію, він не той самий, що карта відновлення і жорсткий диск Lenovo, його час завантаження — це коли система завантажується і завантажується, або після, тобто він не змінює MBR, щоб захопити завантаження. Ну, це набагато простіше — просто вбити його в реєстрі, видалити драйверні файли та лаунчер сервісу. Тоді загальна структура структури файлу точки замерзання виглядає так: - X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
- X:\Program Files\Faronics\_$Df\FrzState2k.exe
- X:\$Persi0.sys设置文件,保存了程序用户密码及所保护分区
- X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- X:\windows\system32\LogonDll.dll
Оскільки точка зависання захоплює жорсткий диск та інші драйвери пристроїв, ці захоплені драйвери також мають бути змінені назад: A) Ключове значення дисковода визначається HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
Повернуто назад на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B) Відповідне значення клавіші клавіатури визначається як
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
Виправлено назад
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C) Відповідне значення ключа миші та інших вказівників визначається як
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
Виправлено назад
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D) Відповідне ключове значення об'єму зберігання дорівнює
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
Виправлено назад
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
(Примітка: Окрім клавіші HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, у HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 та HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 є той самий контент, усі вони потребують змін.) )
Видаліть ключ, де знаходиться LogonDll.dll, адреса реєстру [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon] Або напряму шукати значення ключа DeepFrz і все виправляти. Але тепер модифікація в оригінальній системі недійсна, але спробувати в безпечному режимі все одно не працює, бо при запуску безпечного режиму все одно захоплено, Сан Сінь. Чи справді це марно — перезапуск F8 має режим ремонту, здається, що завантажується інша система ремонту, а не оригінальна системна основа; після входу вибираєш командний рядок, видалиш файли за допомогою Del, а потім вводиш regedit, щоб встановити SYSTEM основної системи. Починаємо операцію. Через недбалість я не звернув уваги на викрадення диска пристрою, тому комп'ютер у комп'ютерній кімнаті зараз не може запустити — ( ▼-▼ ) — Я справді смішний — реєстр трохи складний. Принцип точки зависання потрібно краще зрозуміти, а частина з захопленням пристрою ще не була ретельно вивчена. Чекайте подальшого аналізу.
| 
Опубліковано 23.10.2014 22:22:22
|
|
|
