冰点还原精灵7.5在Win7的另类破解

admin

近日，上计算机文化基础，感觉有些无聊，碰巧计算机机房是Win7的32位系统，冰点7.5的版本，算是比较新的了，面对6.X的冰点破解工具，那些Anti 什么的，对于7.X已经基本免疫。但是毕竟学计算机么，能不折腾一下？

于是乎，稍稍了解一下，他与还原卡以及联想的硬盘还原并不相同，他的启动时在系统启动加载之时，或者说之后，也就是并没有修改MBR实现劫持启动。嗯，这样好办多了，只要在注册表干掉他，并且删除其驱动文件以及他服务启动程序，即可了。

然后冰点文件结构的大体构造如下：

• X:\Program Files\Faronics\DF5Serv.exe冰点的管理和设置程序，加载为系统服务，注册表中加载位置为“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv]”
• X:\Program Files\Faronics\_$Df\FrzState2k.exe
• X:\$Persi0.sys设置文件，保存了程序用户密码及所保护分区
• X:\windows\system32\drivers\DeepFrz.sys冰点内核文件,以驱动的形式加载，注册表中加载位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz]，最关键的东东，工作于系统最高级，不能被结束，在任务管理器中也看不到，可以用冰刃IceSWord看到它在XP的内核模块中。在开机时已接替（过滤监控）了系统的磁盘管理、卷偖存管理、键盘、鼠标，你对硬盘的任何存取操作都已经在冰点的掌握中了，都必须经过它，再传到系统的驱动。
• X:\windows\system32\LogonDll.dll
  

因为冰点为了劫持硬盘等设备驱动，所以那些劫持的设备驱动也要改回来：

A）磁盘驱动器的键值由HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=PartMgr
改回HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz PartMgr
B）键盘相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz kbdclass
改回
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters=kbdclass
C）鼠标和其它指针设备相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=DeepFrz mouclass
改回
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\UpperFilters=mouclass
D）存储卷相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=DeepFrz VolSnap
改回
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\UpperFilters=VolSnap
（注意：除了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet键值下，在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001下都有相同的内容，要全部修改。）
删除 LogonDll.dll 所在键 DfLogon ，注册表位置[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon]

或者直接搜DeepFrz键值，全部修复掉。

但是现在，在原系统的修改无效，但是呢，进安全模式尝试了一下还是不行，因为，启动安全模式，照样被劫持，桑心。。难道真的无果了么—-重启F8有个修复模式，貌似加载的是另一个修复系统了，非原系统基础了，进去之后选择命令行，用Del删除那几个文件，然后输入regedit挂载主系统的SYSTEM。开始尽情的操作吧。因为疏忽，没有注意设备驱动的劫持，导致机房电脑目前启动不了–( ▼-▼ )—真心逗比了–注册表有点复杂那，冰点的原理还待进一步了解，设备劫持那一块还是没有研究透。静待后续分析。