• 欢迎访问 流觞·曲水,WordPress教程,技术,分享,天文,古风,软件···
  • 推荐使用Firefox浏览器或Chrome浏览器访问本网站
  • 欢迎来到流觞·曲水O(∩_∩)O~~
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏流觞·曲水

冰点还原(DeepFreeze)的工作原理

冰点还原(DeepFreeze)的工作原理
我之前介绍过一款还原软件——冰点还原(DeepFreeze),在这里我来解析下DeepFreeze的工作原理
冰点和其它还原软件(如还原精灵、三茗一键恢复等)不一样,它并没有夺取南桥芯片的IO控制权,也没有控制硬盘的INT13中断,它没有改写硬盘的MBR(主引导记录)。还原精灵、三茗一键恢复等通过改写硬盘的MBR的还原软件在操作系统加载之前就部分实现了其还原功能,而冰点则是用驱动的形式加入操作系统的内核模块中来实现其还原功能的,所以它必须依附于原来的系统(也就是冰点只对当前系统有效。),一旦进入另外一个系统,它的还原功能就失效了。而且DeepFreeze的加载优先级非常高,而且加载之后在当前系统不能停止不能禁用也不能删除。

冰点的内核驱动:
冰点还原(DeepFreeze)的工作原理

冰点还原(DeepFreeze)的工作原理

冰点也没有“使用自己的硬盘驱动程序替换原本的驱动”,它和硬盘原来的驱动是一种上的下层关系,也就是说所有对硬盘的访问首先得经过它的“过滤”然后再提交给硬盘原来的驱动处理,从而达到还原的目的,这种技术叫“过滤驱动程序”。下图通过对硬盘及分区驱动程序文件的详细分析加以验证:冰点还原(DeepFreeze)的工作原理 冰点还原(DeepFreeze)的工作原理

鼠标和键盘作为一种字符存取设备,也被冰点所监管:冰点还原(DeepFreeze)的工作原理

而这时,如果我们在设备管理器里 更改键盘、鼠标和磁盘的驱动为Windows默认的驱动,那么你会发现,你的键盘、鼠标和磁盘都不工作了(也就是俗称的死机),只能强制电源键重启,而重启之后你的电脑依旧在DeepFreeze的保护下。
当然,我们也可以卸载冰点的内核驱动,但是这还不够,我们还得解开冰点和设备原来驱动的上下层关系(具体方法在此不展开了,原因很简单:我不会…. :cry: 感兴趣的读者可以自己折腾一下哈),可能有人试过直接删除Deepfrz.sys文件和直接或者间接的清除或禁用注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz的方法却遭遇蓝屏的经历,那就是因为没有解开驱动的缘故。

最后我们来看看DeepFreeze的各个文件:

  • Deepfrz.sys————-冰点内核文件,以驱动的形式加载,此为关键文件.该驱动加载之后没有办法结束.在另外一个系统下删除该文件后重启会造成蓝屏死机.
  • Dfsev.exeFrzstate2k.exe———-这两个文件共同起作用,是冰点的管理和设置程序,前者以服务的形式加载,后一个通过前者启动.所以你在注册表中是找不到Frzstate2k.exe的启动项的。
  • Persi0.sys————–冰点的设置保存文件,包括密码,保护盘等.
  • LogonDll.dll————–DfLogon

嗯!!冰点的密码是保存在C:/Persi0.sys这个文件里的,也就是如果我能够从Persi0.sys里获得DeepFreeze的密码,也就等同获得了DeepFreeze的所有权限,可以对DeepFreeze进行解冻、卸载等操作。我尝试用编辑器打开Persi0.sys,Windows提示该文件被system进程占用……用特殊方法解除了文件占用问题,打开了该文件,一堆乱码。意料之中 文件是加密的(我们想得到的,冰点的开发者们肯定也想到了),在使用了N种解密工具无果后,烟雨只得放弃。。。
当然啦,破解冰点还原(DeepFreeze)的方法也不只有上面提到的卸载内核驱动这一种方法。等会儿,烟雨会写一篇很简单的破解冰点还原的教程~~\(≧▽≦)/~~详情请见:

冰点还原(DeepFreeze)破解、强制卸载


流觞·曲水 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明冰点还原(DeepFreeze)的工作原理
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址