原因:
学校最近安装了“冰点还原 (8.30.220.4890)”,浏览器主页也从抖音更换为正常,不知道密码,改不回来!!!
开始破解:
注意
结束冰点还原 -> 删除相关注册表项 -> 删除本地文件(肯定会失败,而且会无法解锁)
因为开机时冰点还原就开始了,必须使用另一个系统(引导盘)
思路:
-
使用启动盘进入引导系统 -> 删除相关注册表项 -> 删除本地文件(正确操作)(本文将示范)
-
记录目标机器冰点还原的版本号 -> 在另一台机器下载同型号软件 -> 复制另一台机器的密码文件(C:\Persi0.sys) ->
进入目标机器DOS或引导盘 -> 替换密码文件 -> 在目标机器冰点还原上使用已知密码解锁 (无奈找不到相同型号)
1. 了解任务管理器进程:
2. 制作启动盘备用
3. 开机,进入引导盘
4. 冰点还原是SYSTEM级别的进程,所以结束它可能要有SYSTEM权限,这里用到PsExec,需要下载到另一个U盘
PsExec.exe -s -i cmd.exe /k taskkill /im DFLocker64.exe /im DFServ.exe /f /t
(这一步可以以SYSTEM身份暴力结束进程)
5. 删除本地文件
C:\Persi0.sys
C:\Windows\System32\drivers\DeepFrz.sys
C:\Windows\System32\drivers\DfDiskLo.sys
C:\Windows\System32\drivers\DFFilter.sys"
C:\Windows\System32\drivers\FarDisk.sys
C:\Windows\System32\drivers\FarSpace.sys
6. 删除相关注册表项
Class的路径是 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
此外,还需要删除冰点还原的相关服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DeepFrz HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfDiskLo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFFilter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFServ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FarDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FarSpace
到此,冰点还原已被暴力删除。
但教室里是一体机,上学不可能带键盘来选择开机引导盘。参考了很多资料,都要用到键盘!
不过,有兴趣可以参考一下“反制冰点还原”这款软件,实用性未知。
https://blog.csdn.net/gdaswater/article/details/4735207
相关视频:
冰点还原手删视频(免费)