图解破解冰点还原6.0的方法及冰点还原的工作原理
一、首先说一下冰点的工作原理吧。(没有耐心的朋友可直接跳到第二部分看如何破解冰点还原6.0。)可能不少人都看过网上广为流传的“DeepFreeze冰点原理”的帖子,为什么我还要再次重申其原理呢?因为我这个人是干技术工种的,深明理论对实践的重大指导意义,不了解事物的本质,技术永远只能停留在跟从的层面上;再者我觉得该帖根本就是说得不清不楚,而且有些地方还在误导人。
冰点和其它还原软件(如还原精灵、三茗一键恢复等)不一样,它并没有夺取南桥芯片的I0控制权,也没有控制硬盘的INT13中断,它没有改写硬盘的MBR(主引导记录)。还原精灵、三茗一键恢复等通过改写硬盘的MBR的还原软件在操作系统加载之前就部分实现了其还原功能,而冰点则是利用驱动的形式加入操作系统的内核模块中来实现其还原功能的,它必须依附于原来的系统,一旦进入另外一个系统,它的还原功能就失效了。它的加载优先级非常高,而且加载之后在当前系统不能停止不能禁用也不能删除。下图通过软件的方法对冰点的内核驱动加以说明:
冰点也没有“使用自己的硬盘驱动程序替换原本的驱动”,它和硬盘原来的驱动是一种上的下层关系,也就是说所有对硬盘的访问首先得经过它的“过滤”然后再提交给硬盘原来的驱动处理,从而达到还原的目的,这种技术叫“过滤驱动程序”。下图通过对硬盘及分区驱动程序文件的详细分析加以验证:
鼠标和键盘作为一种字符存取设备,也被冰点所监管:
说到这里大家可能已经想到冰点的破解方法了,那就是卸载冰点的内核驱动,但是这还不够,我们还得解开冰点和设备原来驱动的上下层关系,可能有人试过直接删除Deepfrz.sys文件和直接或者间接的清除或禁用注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz的方法却遭遇蓝屏的经历,那就是因为没有解开驱动的缘故。下面我给出冰点还原6.0的破解方法,当然只要明白了其原理,方法是多种多样的。
二、冰点还原6.0的破解方法之一:
因为要对注册表的关键键进行修改,我们必须进入另外一个操作系统才能得以实现,另外我们还需要一个注册表编辑工具。我用的是深山红叶光盘PE(从光盘启动的操作系统)和Registry Workshop(高级注册表编辑器),如果大家的电脑装的是双系统那更好,直接用系统自带的注册表编辑器(Regedit)也可以。现在进入正题:
1、 从光盘启动进入系统,打开RegistryWorkshop。
2、从文件菜单中选择“加载配置单元”,我们要导入硬盘系统的注册表。
定位到C:\WINDOWS\system32\config找到system并打开,可能有些人的路径不一样,这取决于你要破解的系统所在的实际位置。
项名称我们可以随便写,如:df 加载位置默认不用改动。
这样在HKEY_LOCAL_MACHINE下就多了个df项:
3、我们在HKEY_LOCAL_MACHINE\df项中查找所有包含有deep字样的内容:
4、好的搜索结果出来了,为了方便查看,我选择了按值进行排列。红线以上的部分是冰点的服务项,也就是第一部分原理篇所说的冰点的内核模块就是从这里以驱动的形式加载的。红线以下的部分表示冰点的驱动模块和设备(键盘、鼠标、硬盘、单一分区)原来的驱动先后共同起作用对硬件进行驱动。
5、我们从注册表中删除红线以上的各项,红线以下的部分我们要逐项编辑其UpperFilters值,清除数值数据中的DeepFrz字样,也可一次性导出用记事本编辑好后再导入。
对UpperFilters的编辑我只示范一次,其它的雷同:
注意:删除DeepFrz后一定不能留有空行,见下图:
6、对每一项UpperFilters值都编辑好之后我们再将鼠标定位到df项上,然后从文件菜单中选择“卸载配置单元”,重新启动进入硬盘操作系统,你就会发现冰点已经被溶解了。
三、冰点还原6.0的破解方法之二:
首先用冰刃等工具将C:\WINDOWS\system32\config\system拷贝到U盘上,再依照上面的方法对其用RegistryWorkshop进行编辑,编辑好后再从DOS系统或其它系统拷贝回硬盘覆盖原文件。
附一:冰点还原6.0主要文件说明:
Deepfrz.sys-------------冰点内核文件,以驱动的形式加载,此为关键文件.该驱动加载之后没有办法结束.在另外一个系统下删除该文件后重启会造成蓝屏死机.
Df5sev.exe和Frzstate2k.exe----------这两个文件共同起作用,是冰点的管理和设置程序,前者以服务的形式加载,后一个通过前者启动.所以你在注册表中是找不到Frzstate2k.exe的启动项的。
$persi0.sys--------------冰点的设置保存文件,包括密码,保护盘等.
LogonDll.dll--------------DfLogon
附二:网上广为流传的“DeepFreeze冰点原理”的帖子原文:
DeepFreeze冰点原理
冰点的还原是获取南桥芯片的I0控制权,说白了就是控制硬盘的INT13中断,几乎所有的还原软件都是靠这个实现的,当装入正确的驱动后,冰点就可以正确的拿到I0控制器的控制权,然后使用自己的硬盘驱动程序替换原本的驱动,就达到了任何关于硬盘的写入都要经过他的控制,这样就可以轻易的达到还原目的,同样,双系统或者GHOST恢复的话,正确装上了冰点的系统才会有还原功能,如果没有装的话,当然就没有啦.所以GHOST下可以无限制的添加文件,而windows下添加文件就被还原了.
冰点是随着windows的启动才启动的,windows启动加载驱动的时候冰点就通过某种方式触发启动了,由于冰点有I0控制器的控制权,所以,他可以把任何写入硬盘的东西放到任何地方,不知道大家有没看过temp(windows临时文件夹)下有个DF5.TMP对不?具体的文件名我记不到蛮清楚了,而且,我现在不在我的网吧里,这家网吧把C盘屏蔽了!@#$%$%所以不能提供具体的名称了,大家可以自己看看
补充,冰点的转储一般是随着windows的临时文件夹的,所以,系统做完以后一定要把windows临时文件夹转移到一个比较空闲的盘里,不然,就会出现丢失文件的情况的(下载大文件后丢失文件就是这样引起的),因为,DF把所有写入的文件都放在那里面,虽然表面上看你丢在了别处,但是存储位置实际上还是在临时文件夹里,只是windows显示给你的路径给你了误导,它在硬盘上的实际位置应该是在临时文件夹下面。
DOS下面不可能操作冰点啊,就算是使用NTFSDOS修改了它,就可能启动不好了,而且DOS下也不能安装冰点吧另外,DF设计用于NTFS的时候就认为NTFS不被DOS支持,所以,没有提供DOS下的支持,甚至在FAT32的win98 的DOS下都不提供支持,DF的设计是面向windows的
最好把系统的文件格式改为NTFS,但是NTFS确实也存在丢失文件的,我曾经遇到过,但是,NTFS丢失文件绝大部分是与硬件相关的,我遇上问题的那次是键盘的接口接触不好,更换键盘,文件丢失现象就解决了,
windows 2000/XP/2003下有个NTDETECT.COM文件,这个文件是在windows启动的时候负责读取硬件信息的程序,ntldr在每次启动的时候第一个加载的就是它,然后它会给分别读取每个硬件的信息,决定ntldr需要加载的驱动程序,因为这个程序不是windows下的程序,设计的也很简便,所以,硬件如果有某些小问题,造成没有发现某些必须的硬件,某些驱动便不能加载,然后提示文件丢失(有时候BIOS能通过,能报错哪些硬件损坏,但windows在启动的时候没有告诉你什么硬件坏了吧?要么启动失败,要么启动成功以后告诉你什么什么坏了),我们有时候遇到这样的事情,机器不能启动了,但,放几天又好了,或者放几天又坏了,就存在某些元件受潮?受热?很多小小小的不能小的问题集中起来就要出大问题的.我的说法很偏激,是一种比较的钻牛角尖的说法的,如果你每台机器都是那样的话那就不存在硬件上的问题了,但在我看来,丢失文件的几率真的很低啊(NTFS).所以,NTFS下丢文件,基本上是硬件引起的,不知道哪位兄弟能给出点意见啊.又或者我分析的不对了.
NTDETECT.COM这个文件在启动的时候会往注册表里的一个键下面添加硬件环境信息,具体我不清楚啦,以此来决定加载什么驱动的,没有检测什么哪个硬件就不会加载相应的驱动,ntldr在加载系统文件的时候就有可能发生错误,说什么什么文件丢失,其实,那个文件还是存在的,只是没有按NTDETECT.COM给出的列表加载进去而已。
看了上贴,想必大家更清楚了点冰点了吧,
我看这上面对于冰点的问题,除了不能使用就是安装出错吧,
errer #00100040
errer #00000000
这些都和你的什么SP4啊,都没有关系,关键在于你没有使用一个工具给你的GHOST系统打包,就是系统安装盘带的封装工具,希望大家在做好系统,快刻盘的时候先把系统封装一次,然后重起的时候直接在GHOST服务器上获取母盘(不要让系统启动,不然封装就白做了)。然后是驱动程序的安装顺序和版本问题,原则上,你必须使用安装盘上的驱动程序,我看相当一部分人是用的通用驱动吧,厂商生产的时候会根据自己的需要改变电气结构(偷工减料?节约成本?),如果加入了很多的新鲜功能,那就需要自己改写驱动程序了,所以,这时候,就必须得使用厂商给你的驱动了,我也建议大家使用原厂驱动。
在这里,我解释一下,因为,每块主板不一定是绝对一样,所以,系统驱动主板的参数就不一样,但是你没有封装就GHOST,在别的机器上是可以使用的,安装冰点的时候,由于驱动不一样,当然,冰点不需要主板驱动,它需要的是硬盘驱动,主板的参数不一样,在加上硬盘和主板的连接也可能造成参数的差别,这样,冰点安装的时候,不能正确替换系统原本的驱动,大家有否注意到装显卡驱动的时候,屏幕会闪一次,那是驱动程序在卸载已经加载到内存中的驱动程序文件,所以,冰点要驱动硬盘,就必须卸载,在加上自己的参数,参数改变,冰点不能正确卸载驱动,也就装不上啦。封装就是要把硬件信息从系统中完全删除,刻好以后让系统自己查找合适的驱动,配置合适的参数。
个人认为,论坛里的什么冰点被破解是假的,是枪手帖子,就算被破了, 我们所做的不过是:change another software.国外这样的软件一大堆,只不过广大网管的英语水平不高,也没兴趣去找啊。
在看看他们发帖子的姿态吧,给出图片,但是不给出东西,还说什么是怕流传下来,影响大了,为广大网管着想,中国人,有什么东西还有这样藏的吗?有什么东西只管拿出来,这样发图片,纯粹是危言耸听!
所以,我认为是枪手帖子,目的是要大家选用别的还原软件,仔细看看帖子和发帖子的人说的话,一点技术含量都没有,没有冰点,我们照样工作的很愉快!
页:
[1]