lunes, 17 de junio de 2013

Herramientas imprescindibles para analizar procesos en Windows (I)

 Todos estamos acostumbrados a dar el comando netstat o ver la lista processo como primera acción cuando algo no va bien en el equipo.




Lo primero que se hecha en falta es poder relacionar la información de ambas pantallas que es como decir: ¿que programa a arrancado esa conexión? o su inversa ¿cuantas conexiones ha arrancando un programa?

El Gestor de Tareas de Windows y el comando netstat son claramente insufucientementes y necesitamos de algunas herramientas para poder extraer más información.


La solución a estas preguntas y otras muchas más viene de la mano de la suite Sysinternals que Microsoft pone a nuestra disposición en esta direción http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

En sus origenes sysinternals fue desarrollado por programadores independientes y más tarde Microsoft adquirió no solo estas herramientas si no tambien su compromiso de mantenimiento.

Una de las ventajas, y es una gran ventaja, es que los programas de sysinternals son portables, es decir que no necesitan ser instalados en el equipo para funcionar. Lo que nos permite que sean añadidos al pen drive de herramientas que a modo de navaja suiza, todos los profesionales de la informática debemos llevar encima.

En un futuro post comentaré que llevo en mi pendrive-navajasuiza

Aunque son muchas herramientas y orientadas a diversos fines en este post vamos a tratar con las herramientas que nos pueden ayudar a analizar los procesos en ejecución en un sistema:
Tenemos:

• TCPView
• Process Explorer
• Process Monitor
• Handles
• ListDLL
• Autoruns

Cuyos nombres dice bastante acerca de lo que podemos esperar de cada una de ellas.

TCPView.
Nos permite ver la conexiones de red que tenemos en nuestro equipo:

Esta es una pantalla general de la aplicación:


Se puede limitar la salida a sólo aquellas conexiones activas:


Mediante Ctrl+R podemos activar / desactivar la resolución de nombres


Las filas pueden estar coloreadas:
  • Amarillas - Conexiones que han cambiado de estado entre dos inspecciones
  • Rojas - Conexiones que han desaparecido
  • Verdes - Nuevas conexiones.
Una de las cosas que en mi opinión son mas útiles es la posibilidad de identificar al proceso que tiene la conexión.

Mediante nombre y su PID. Además si seleccionamos el proceso y vamos al menú y seleccionamos: Process --> Process Properties nos identifica en el fichero del programa:


Permitiéndonos incluso cancelar el proceso.

No alargo más este post y en los próximos iremos viendo y todos y cada uno de estos programas y finalizaremos con un ejemplo de uso de todos ellos para analizar un malware.



No hay comentarios:

Publicar un comentario