7.4 Detalles técnicos del funcionamiento de Deep Freeze

Cuando se inicia el sistema operativo Windows , si el ordenador tiene instalado Deep Freeze, se cargan dos procesos en memoria principal. Dichos procesos son los siguientes:

• Frzstate.exe

• DfSerfEx.exe

El primero es el que muestra el icono o logotipo del programa junto al reloj (la cara de osito).

El segundo proceso es el programa en sí mismo.

Es de destacar que, estos procesos no se pueden eliminar o matar normalmente. Si desde el “Administrador de tareas” se logran quitar de memoria, casi inmediatamente se vuelven a cargar.

El programa no realiza un backup de los datos, sino que se limita a no guardar los cambios en la FAT (la tabla donde almacena las direcciones de los ficheros que existen en el ordenador). Por esta razón, hay que aclarar que siempre es posible recuperar con herramientas de recuperación de archivos los ficheros que se hayan guardado en el disco durante la sesión anterior.

La contraseña se almacena en un fichero llamado PERSI0.sys, que está oculto, es de sistema y de sólo lectura, es decir, que no se puede tocar ni siquiera entrando en modo a prueba de fallos.

Además, en la primera partición se crea un nuevo fichero oculto y de sistema llamado WINBOOT.INI (parecido a MSDOS.SYS). Este fichero tampoco es posible modificarlo si se accede al equipo en modo normal o “modo a prueba de fallos”.

Advertencia [53]

Sin embargo, si el ordenador puede arrancar desde un dispositivo externo (por ejemplo desde CDROM o USB), es posible modificar este último fichero, con lo que se anula el efecto del Deep Freeze. En dicho fichero, poniendo a 1 las variables BOOTMENU y BOOTKEYS el programa Deep Freeze puede quedar inutilizado.

Por esta razón, es conveniente que los equipos congelados no puedan ser arrancados desde un dispositivo que no sea el disco duro modificando las opciones de la BIOS.

Otro peligro es borrar los ficheros, con lo que el programa puede seguir funcionando pero no se podrá desinstalar.