elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Que es una interrupción desconocida y como parar el proceso???
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Que es una interrupción desconocida y como parar el proceso???  (Leído 1,631 veces)
Hason


Desconectado Desconectado

Mensajes: 779


Keep calm and use the spiritual force


Ver Perfil WWW
Que es una interrupción desconocida y como parar el proceso???
« en: 24 Junio 2019, 19:28 pm »

Hace tiempo que detecto esto, pero no puedo deshookearlo, el propio programa no puede, solo puede algunas cosas pero esto no.

Aqui va una captura de pantalla, haber si alguien sabe como puedo deshokear esto:




Ya veis que no tiene ruta ni compañia ni nada casi, pero si da información, supongo que haciendo algo, podria sacar esto o no???


Bueno, gracias de todas formas.

Saludos.
En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla
"Houston, tenemos un problema": los detalles y curiosidades tras uno de los mensajes de alarma más famosos de la historia
https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.477


S3C M4NI4C


Ver Perfil
Re: Que es una interrupción desconocida y como parar el proceso???
« Respuesta #1 en: 24 Junio 2019, 19:53 pm »

En el visor de eventos de Windows hay un apartado de IRQ. Pero las interrupciones no se loguean constantemente, ya que en un milisegundo se hacen miles, imagina el tamaño que ocuparía el logearlas todas.

Que no esté identificada esa irq no significa que llegue a ser peligrosa, ahora, Windows no es tan trasparente en ese aspecto como en Linux ya que es mucho más fácil controlar las irq monitorizando /proc/interrupts o utilizando algun software específico, además de que cada irq tiene un número registrado en el sistema y se puede saber que driver atiende a las irq. Este post te puede interesar, pues mide la performance de las irq en Windows: https://serverfault.com/questions/44291/logging-hardware-interrupts-irqs-which-are-using-10-25-cpu

Además, puede ser que no tengas privilegios suficientes para enumerar las propiedades del driver que utiliza dichas interrupts. Prueba a realizarlo como SYSTEM y no con permisos de admin.
« Última modificación: 24 Junio 2019, 19:56 pm por kub0x » En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Hason


Desconectado Desconectado

Mensajes: 779


Keep calm and use the spiritual force


Ver Perfil WWW
Re: Que es una interrupción desconocida y como parar el proceso???
« Respuesta #2 en: 24 Junio 2019, 20:26 pm »

Muchisimas gracias por responderme i decirme algo  kub0x.

Desconozco totalmente el tema de las interrupciones, leere el link que me has pasado haber si me entero de algo.


Ya lo he provado de todas las formas, no se puede deshookear, le das, y vuelve a aparecer otra vez todo el rato, tanto como admin, como usuario normal.

Hay cosas que si deja eliminarlas pero otras muchas no.

Mira mi visor de eventos, no aparece el apartado IRQ o no lo veo:



Y otra captura de otras anomalias que me encuentra que tampoco puedo deshookear:





Es que no se del tema, y no puedo estudiar ya con toda la medicación que tomo e historias.

Está mañana he tenido un susto, y desde entonces me aparecen dos servicios nuevos, uno es el apps y otro más, pero no funcionan por que está modificado windows, en el visor de eventos que he puesto se ven los errores a mansalva que hay y el apps, que no inicia, por que faltan componentes en la instalación  :rolleyes:


Yo no se nada sobre las interrupciones, más que un poco el programa este mirarlo un poco, entiendo que lo que sale en azul, es malo, pero no lo se.Bueno, de hecho no todo lo azul es malo, por que si me cargo el realtek que sale en azul, me quedo sin audio.

En linux ya no lo toco, no tengo ganas, me es más fácil windows ahora.(aparte se me a olvidado casi todo lo que sabia con linux).

El s.o, funciona ok aún con todo esto.

A mi me gustaria alguna solución sencilla para ir matando estos procesos en azul, desde cmd por ejemplo, pero ni idea...Leere el enlace por si pillo algo.

Creo que en el enlace que has puesto sale de hacer lo de la consola de comandos, pero no se iniciarlo.

C:\Program Files\KrView\Kernrates>Kernrate_i386_XP.exe

No lo tengo en el s.o. ni se como conseguirlo ni nada, y me es muy complicado la verdad.

El KrView es un programa que debo descargar o se supone que está en el s.o. de
windows 8.1?

Bueno ahora por la mañana lo he vuelto a mirar, y este visor es para xp y vista, no aparece krview en window 8.1, no  se como matar estos procesos.

No importa si me cargo el s.o., yo quiero ir eliminando cosas y ver que pasa.Me cuesta muy poco reinstalar, y paso de máquinas virtuales.(así estás más atento a lo que pasa por lo menos yo).

Y bueno, comentar que ya en el pasado prove otros programas parecidos, y tampoco podian deshacer los hookeos, es como si estuviran anclados y protegidos, luego de los que deja eliminar, al reiniciar el sistema, vuelven a aparecer.(no todos).

Saludos.


« Última modificación: 25 Junio 2019, 10:39 am por Hason » En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla
"Houston, tenemos un problema": los detalles y curiosidades tras uno de los mensajes de alarma más famosos de la historia
https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines