信 息   留 言   编 辑   引 用

楼 顶

[转帖]破解冰点

‘J、、冰点([)eepFreez(j)又译为冰冻，是一款广泛应用于网吧或学校机房的还原软件。冰点的还原原理和还原卡、还原精灵不同，后者是修改MBR为自己的引导代码，在BIOS把控制权交给MBR时即开始运行，而冰点则是在windows启动时被触发启动，即它是在windows中运行的软件，所以使用还原卡或还原精灵的破解工具对冰点是不起作用的。冰点的主要配置信息包括是否还原硬盘的改变，控制台密码等都是保存在系统盘的Persi0.sys文件中。分别拷贝出设定为bootFrozen(启动还原)和B00tThawed(启动不还原)的I’ersiO.sys文件，通过命令行下的fc／b命令，二进制比较后发现BOOtFrozen与BootThawed在Persi0.sys文件中的差别只有4个对应位置上BootFrOZCm是7D6EcBDD，而BOOtThawed是82913422，此四个字节的标记(以下称为还原标记)在Persi0.sys巾的位置随版本不同而变化。冰点就是通过Persi0.sys巾的这四个字节来决定启动后是否保存硬盘的改变，而此文件在windows运行时是受保护的，并且与此关联的进程是system，即内核进程。要想通过更改进程与Persi0.sys文件的关联来修改Persi0.sys文件是不可能的，于是有人在cmd卜删除此文件，不过此方法在5.7以后的版本中行不通。5.7以后版本中的Persi0.sys文件l{皮删除进入windows后，文件的修改还是会被还原。因为冰点还有两个重要的驱动程序在system32／drivers目录下，而删除掉这两个文件后，windows启动时则会蓝屏。但是如果我们能在windows下不通过操作系统而直接读写Persi0.sys文件所在的硬盘区域，将其中的标记还原“7D6ECBDD”改为不还原的“829l34XSIittlegrass22”，那么冰点在重启之后将不起作用。不过在win—dows下，一般应用程序都只能运行在Ring3级别，此级别不允许直接硬件访问，于是我们还得写驱动，这又涉及到硬件底层的许多问题，幸运的是已经有人写好了在windows下直接访问硬盘的程序，那就是天杀的“硬盘直接访问程序1.1”。我们可以通过winHex定位Persi0.sys中的还原标记，并用灭杀的“硬氍直接访问程序1.1”来修改还原标记以达到下次启动时不还原的目的。首先打开winHex的磁盘编辑器，选择安装冰点的系统盘，打开详细资料面板及目录浏览器(图2)，找到并单击persiO.sys文件。图2在下面的十六进制数值显示框内就是Persi0.sys在磁彘上的数据了，不过这些并不是冰点Persi0.sys文件的真实数据，因为冰点通过某种手段试图保护PersiO.sys文件，使用WinHex读取的并非真实的数据。我们记下详细资料面板中的PersiO.快照获得2分钟以前物理扁区编号：1816731逻辑扇区编号：81648已使用空间：30郇.主!当i!生!塑王翌图3sys文件第一扇区的物理扇区编号18l6731(图3)，再打开硬盘直接读写程序，在LBA中填入刚才记下的数值l816731，选择读取扇区，这样就可以把PersiO.sys文件在磁盘上的数据的第一扇区读到D：＼boo￡.bin文件巾了。使用winHex打开此文件，在偏移量B8处(6.O版本，各版本还原标记的具体位置参见表1)即可以看到7D6EcBDD，这便是冰点的还原标记(图4)。使用winHex修改这四个字节为829l3422，如图5，即为不还原。再将修改后的boot.bin关闭保存，然后打开硬艋直接读写程序，在I.BA中填人Persi0.sys的第一扇区编号1816731，选择浏览，选定

该帖子在 2007/11/19 13:12:28 编辑过