借助winPE手工清除Deep Freeze冰点还原
来源:互联网 发布:异次元软件下载 编辑:程序博客网 时间:2024/06/10 17:41
source: click here
故障表现:系统托盘无冰点图标显示,用Shife+Ctrl+Alt+F6热键无法呼出冰点设置窗口,X:/Program Files/Faronics/下文件名乱码,文件时间错误,本来仅设置还原C盘,现在全部分区都被保护,我囧!
使用工具:winPE启动光盘或者U盘,我用的是启动U盘,推荐使用老毛桃较新版本。
分析冰点:(相关信息来自网络)
冰点在正常安装的情况不会改写主引导扇区,只会在硬盘建立以下文件:
- X:/Program Files/Faronics/DF5Serv.exe
- X:/Program Files/Faronics/_$Df/FrzState2k.exe
- X:/$Persi0.sys
- X:/windows/system32/drivers/DeepFrz.sys
- X:/windows/system32/LogonDll.dll
文件说明:
- DF5Serv.exe 冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DF5Serv]”
- FrzState2k.exe 也是冰点的管理和设置程序,通过前者启动,网上有人说它也是系统托盘中的图标(未经确认)。
- $Persi0.sys 设置文件,保存了程序用户密码及所保护分区(网上有介绍如何通过这个文件破解冰点)。
- DeepFrz.sys 冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
- LogonDll.dll 是其组件,具体不知道什么作用,是在启动项里。
斩杀步骤:启动winPE后进行如下操作
- 加载系统盘注册表后,首先删除冰点的系统服务“DF5Serv”和“DeepFrz.sys”,注册表位置“[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DF5Serv]”和“[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DeepFrz]”
- 修改磁盘管理、卷偖存管理、键盘、鼠标驱动注册表项,具体如下
A)磁盘驱动器的键值由HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E967-E325-11CE-BFC1-08002BE10318}/UpperFilters=PartMgr
改回HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E967-E325-11CE-BFC1-08002BE10318}/UpperFilters=DeepFrz PartMgr
B)键盘相应键值由
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E96B-E325-11CE-BFC1-08002BE10318}/UpperFilters=DeepFrz kbdclass
改回
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E96B-E325-11CE-BFC1-08002BE10318}/UpperFilters=kbdclass
C)鼠标和其它指针设备相应键值由
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E96F-E325-11CE-BFC1-08002BE10318}/UpperFilters=DeepFrz mouclass
改回
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E96F-E325-11CE-BFC1-08002BE10318}/UpperFilters=mouclass
D)存储卷相应键值由
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{71A27CDD-812A-11D0-BEC7-08002BE2092F}/UpperFilters=DeepFrz VolSnap
改回
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{71A27CDD-812A-11D0-BEC7-08002BE2092F}/UpperFilters=VolSnap
(注意:除了HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet键值下,在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002和HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001下都有相同的内容,要全部修改。) - 删除 LogonDll.dll 所在键 DfLogon ,注册表位置[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/DfLogon]
<WinlogonNotify: DfLogon><LogonDll.dll>
重新启动至硬盘操作系统,冰点还原已被斩杀。
- 借助winPE手工清除Deep Freeze冰点还原
- 借助winPE手工清除Deep Freeze冰点还原
- 怎么关闭Deep Freeze (冰点还原精灵单机版)
- 冰点(Deep Freeze)6.0教程 获取密码! 经过测试OK~~
- Deep Freeze
- 脆弱的冰点还原
- 冰点还原软件
- Comodo DiskShield 类似冰点还原
- 安全工具介绍 冰点还原
- DeepFreeze (冰点还原)完全使用手册
- 如何卸载deepfreeze(冰点还原)
- [Share] 冰点还原 Persi0.sys
- 影子系统、还原精灵、冰点还原优缺点比较
- 冰点还原6.61 For Win2003 打造全过程
- deepfreeze(冰点还原)--图文使用…
- 技术脱盲贴1------WINPE手工制作
- freeze
- 手工清除rose病毒
- .net 中的string.format()的格式表
- 关于host文件
- [Linux]Linux shell必知必会的命令总结
- [英语阅读]英国:职业指导从娃娃抓起
- 关于violate变量的使用
- 借助winPE手工清除Deep Freeze冰点还原
- 理想
- 缺省的servlet
- [英语阅读]英国“鬼村”取消万圣节
- 和偶一天生日的加QQ群哟!
- 多页面共用子窗口技术
- 一道简单点的面试题目
- 飞机也能“坐过站”?
- eMule的2个乱序加密型服务器地址