行云流水 | Yorick's Blog » 冰点 http://www.pihai.net 最后,他们奔我而来,再也没有人站起来为我说话了…… Fri, 04 Jun 2010 11:49:55 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 借助winPE手工清除Deep Freeze冰点还原 http://www.pihai.net/technology/kill-deepfreeze.html http://www.pihai.net/technology/kill-deepfreeze.html#comments Wed, 19 Nov 2008 08:26:49 +0000 Yorick http://www.pihai.net/technology/kill-deepfreeze.html Photobucket

deepfreeze

故障表现:系统托盘无冰点图标显示,用Shife+Ctrl+Alt+F6热键无法呼出冰点设置窗口,X:\Program Files\Faronics\下文件名乱码,文件时间错误,本来仅设置还原C盘,现在全部分区都被保护,我囧!

使用工具:winPE启动光盘或者U盘,我用的是启动U盘,推荐使用老毛桃较新版本。

分析冰点:(相关信息来自网络)
冰点在正常安装的情况不会改写主引导扇区,只会在硬盘建立以下文件:

  1. X:\Program Files\Faronics\DF5Serv.exe
  2. X:\Program Files\Faronics\_$Df\FrzState2k.exe
  3. X:\$Persi0.sys
  4. X:\windows\system32\drivers\DeepFrz.sys
  5. X:\windows\system32\LogonDll.dll


文件说明:

  1. DF5Serv.exe 冰点的管理和设置程序,加载为系统服务,注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
  2. FrzState2k.exe 也是冰点的管理和设置程序,通过前者启动,网上有人说它也是系统托盘中的图标(未经确认)。
  3. $Persi0.sys 设置文件,保存了程序用户密码及所保护分区(网上有介绍如何通过这个文件破解冰点)。
  4. DeepFrz.sys 冰点内核文件,以驱动的形式加载,注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz],最关键的东东,工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。
  5. LogonDll.dll 是其组件,具体不知道什么作用,是在启动项里。

斩杀步骤:启动winPE后进行如下操作

  1. 加载系统盘注册表后,首先删除冰点的系统服务“DF5Serv”和“DeepFrz.sys”,注册表位置“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”和“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz]”
  2. 修改磁盘管理、卷偖存管理、键盘、鼠标驱动注册表项,具体如下
    A)磁盘驱动器的键值由HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
    改回HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
    B)键盘相应键值由
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
    改回
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
    C)鼠标和其它指针设备相应键值由
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
    改回
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
    D)存储卷相应键值由
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
    改回
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
    注意:除了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet键值下,在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001下都有相同的内容,要全部修改。)
  3. 删除 LogonDll.dll 所在键 DfLogon ,注册表位置[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon]
    <WinlogonNotify: DfLogon><LogonDll.dll>

重新启动至硬盘操作系统,冰点还原已被斩杀。

]]> http://www.pihai.net/technology/kill-deepfreeze.html/feed 2