冰点还原精灵 Deep Freeze 密码遗忘后的系统级清理与重置指南

1. 冰点还原精灵密码遗忘的紧急处理场景

遇到Deep Freeze管理密码丢失的情况，就像被锁在自家门外——明明系统是你的，却被防护软件拦在外面。这种情况多发生在机房管理员交接、文档记录不全或长期未操作后突然需要维护时。我处理过几十起类似案例，最夸张的是某学校机房所有电脑密码同时失效，最后不得不逐台进行系统级清理。

传统方法中，很多人尝试过用相同版本Persi0.sys文件覆盖，但在8.6以上版本往往失效。实测发现，从Windows 10 1809版本开始，微软对驱动验证机制做了调整，单纯替换文件会导致系统检测到签名异常而自动禁用驱动。这就是为什么你按老方法操作后，右下角的冰点熊图标虽然消失，但重启后防护依然存在。

2. PE环境下的深度清理准备

2.1 制作全能型PE启动盘

推荐使用Ventoy制作多合一启动盘，它支持同时放入多个PE镜像。我习惯集成WinPE10x64和WinPE11x64两个版本，遇到新老硬件都能兼容。关键是要确保PE包含：

• DiskGenius（分区管理）
• Regedit（注册表编辑器）
• Notepad++（脚本编辑）
• 7-Zip（文件解压）

制作时有个细节要注意：用DiskPart将U盘转为MBR分区表，兼容性比GPT更好。遇到过不少新电脑用GPT格式U盘启动后找不到硬盘的情况。

2.2 定位系统盘的特殊技巧

进入PE后，别急着操作。先打开DiskGenius查看分区结构，现在很多电脑会有多个小分区。有个快速识别技巧：找那个"空闲空间"显示为Deep Freeze冻结空间的分区（通常是主分区大小的1.1倍）。我遇到过戴尔品牌机把系统盘藏在第三个隐藏分区的情况，这时候需要手动挂载。

3. 文件系统的彻底清理

3.1 关键文件删除清单

除了常见的Persi0.sys，这些隐藏文件也必须清除：

code复制C:\Windows\System32\drivers\DFServ.sys
C:\ProgramData\Faronics\Deep Freeze\*.dfr
C:\Users\All Users\Faronics\Deep Freeze\*.cfg

特别注意：在1803之后版本，新增了C:\Windows\System32\DriverStore\FileRepository\df*.inf系列文件，如果不删除这些，重装时会出现"驱动已存在"的报错。

3.2 批处理脚本优化版

原始脚本需要根据盘符修改，这个增强版会自动识别系统盘：

batch复制@echo off
for /f "tokens=2 delims==" %%d in ('wmic volume get driveletter^,label^|find "Windows"') do (
    set "sysdrive=%%d"
    goto :found
)
:found
rd /s /q "%sysdrive%\Program Files (x86)\Faronics"
del /f /a /q "%sysdrive%\Persi0.sys"
del /f /a /q "%sysdrive%\Windows\System32\drivers\DeepFrz.sys"
del /f /a /q "%sysdrive%\Windows\System32\drivers\DfDiskLo.sys"
del /f /a /q "%sysdrive%\Windows\System32\drivers\DFFilter.sys"
del /f /a /q "%sysdrive%\Windows\System32\drivers\FarDisk.sys"
del /f /a /q "%sysdrive%\Windows\System32\drivers\FarSpace.sys"
del /f /a /q "%sysdrive%\Windows\System32\DriverStore\FileRepository\df*.inf"
pause

4. 注册表清理的进阶操作

4.1 配置单元加载的正确姿势

加载SYSTEM配置单元时，常遇到"另一个程序正在使用"的报错。这是因为PE环境可能自动挂载了注册表。解决步骤：

1. 先运行reg unload HKLM\SYSTEM
2. 在DiskGenius中右键系统盘→卸载卷
3. 再执行加载配置单元操作

4.2 注册表关键项补充清单

除了原始方案提到的项，这些位置也必须清理：

code复制HKEY_LOCAL_MACHINE\1\ControlSet001\Enum\Root\LEGACY_DF*
HKEY_LOCAL_MACHINE\2\Microsoft\Windows\CurrentVersion\Uninstall\{...} 
（查找DisplayName包含Faronics的项）
HKEY_LOCAL_MACHINE\2\Microsoft\Windows\CurrentVersion\Run
（删除所有Faronics相关启动项）

5. 重置后的验证与重装

5.1 彻底清除的验证方法

重启前建议做三项检查：

1. 用Everything搜索"faronics"，应该无结果
2. 在PE中运行regedit，查看HKEY_LOCAL_MACHINE下是否还有DeepFrz残留
3. 检查系统盘根目录下Persi0.sys文件大小是否为0KB

5.2 重装时的避坑指南

重装Deep Freeze时容易遇到的三个坑：

1. 如果提示"已有新版本"，需要先删除C:\Windows\Temp\DFInstall文件夹
2. 安装进度到90%卡住时，检查BIOS中Secure Boot状态，建议临时关闭
3. 企业版安装后提示许可证无效，需删除C:\ProgramData\Faronics\Deep Freeze\*.lic文件

6. 特殊情况处理方案

遇到过最棘手的案例是某医院工作站，按标准流程操作后仍然检测到Deep Freeze存在。后来发现是组策略里配置了自动重装，解决方法：

1. 在PE里清除文件后不要立即重启
2. 挂载SOFTWARE配置单元
3. 定位到Policies\Microsoft\Windows\Installer，删除所有子项
4. 在Windows\CurrentVersion\Group Policy删除所有.dat文件

对于UEFI+GPT格式的机器，还需要检查ESP分区：

1. 挂载ESP分区（通常100MB大小）
2. 删除\EFI\Faronics目录
3. 用bcdedit检查启动项是否干净