行云流水 | Yorick’s Blog

故障表现：系统托盘无冰点图标显示，用Shife+Ctrl+Alt+F6热键无法呼出冰点设置窗口，X:\Program Files\Faronics\下文件名乱码，文件时间错误，本来仅设置还原C盘，现在全部分区都被保护，我囧！

使用工具：winPE启动光盘或者U盘，我用的是启动U盘，推荐使用老毛桃较新版本。

分析冰点：（相关信息来自网络）
冰点在正常安装的情况不会改写主引导扇区，只会在硬盘建立以下文件：

1. X:\Program Files\Faronics\DF5Serv.exe       
2. X:\Program Files\Faronics\_$Df\FrzState2k.exe       
3. X:\$Persi0.sys
4. X:\windows\system32\drivers\DeepFrz.sys
5. X:\windows\system32\LogonDll.dll

文件说明：

1. DF5Serv.exe 冰点的管理和设置程序，加载为系统服务，注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
2. FrzState2k.exe 也是冰点的管理和设置程序，通过前者启动，网上有人说它也是系统托盘中的图标（未经确认）。
3. $Persi0.sys 设置文件，保存了程序用户密码及所保护分区（网上有介绍如何通过这个文件破解冰点）。
4. DeepFrz.sys 冰点内核文件,以驱动的形式加载，注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz]，最关键的东东，工作于系统最高级，不能被结束，在任务管理器中也看不到，可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替（过滤监控）了系统的磁盘管理、卷偖存管理、键盘、鼠标，你对硬盘的任何存取操作都已经在冰点的掌握中了，都必须经过它，再传到系统的驱动。
5. LogonDll.dll 是其组件，具体不知道什么作用，是在启动项里。

斩杀步骤：启动winPE后进行如下操作

1. 加载系统盘注册表后，首先删除冰点的系统服务“DF5Serv”和“DeepFrz.sys”，注册表位置“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”和“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz]”
2. 修改磁盘管理、卷偖存管理、键盘、鼠标驱动注册表项，具体如下
   A）磁盘驱动器的键值由HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
   改回HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
   B）键盘相应键值由
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
   改回
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
   C）鼠标和其它指针设备相应键值由
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
   改回
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
   D）存储卷相应键值由
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
   改回
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
   （注意：除了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet键值下，在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001下都有相同的内容，要全部修改。）
3. 删除 LogonDll.dll 所在键 DfLogon ，注册表位置[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon]
   <WinlogonNotify: DfLogon><LogonDll.dll>

重新启动至硬盘操作系统，冰点还原已被斩杀。