viernes, 19 de julio de 2013

Herramientas .... (II) - Explorador de procesos

En esta segunda entrega del paquete de herramientas de sysinternals vamos a ver el Explorador de Procesos que al igual que TCP View enriquece la escasa información que suministra el gestor de tareas standard de windows.
Encontraremos este programa dentro de la suite completa de sysinternals con el nombre procexp.exe

Una vez arrancado este es su aspecto


Además del consumo instantáneo de CPU y de memoria podemos identificar que hace el proceso, siempre y cuando el programador se haya tomado la molestia de indicarlo, y que el software está firmado. Esto último es una garantía de tranquilidad.


Dado que la firma de programa es una aval lo suficientemente importante de seguridad si ordenamos por esta columna y vemos que tenemos pocos procesos cuyo programas no están firmados tendremos una garantía de que nuestro sistema está aceptablemente limpio.

La implantanción de firmas en el software lleva ya tiempo en el mundo del software y ver muchos procesos arrancados en un equipo sin firma no da una buena imagen de su propietario (descuidos, software antiguo, copias no legales, etc) y una mayor probabilidad para la existencia de troyanos y puertas traseras,

Evidentemente no todos los programas vienen firmados, pero si por ejemplo vemos un programa que se llame word.exe y no viene firmado por Microsoft podemos estar seguro que tenemos algo que no huele bien en nuestro equipo.

Si hacemos seleccionamos un proceso y hacemos doble click obtenemos una información completa sobre ese proceso:

Podemos destacar:

Los puertos que tiene abiertos:



O los zonas de memoria que identifica como strings (tanto en memoria como en el fichero del ejecutable)


La entrada del registro que lo arranca (si es un programa que se arranca al iniciarse)


Un consejo: si ves un programa no firmado, que abre una conexión y está en autoarranque no está de mas el intentar identificar que hace ese programa e intentar descargarte una versión firmada.

Y asi la información de proceso clasificada en 7 categorias: Imagen del programa, rendimiento (en formatos gráfico y numérico), threads, seguridad, TCP, entorno y strings.

Podemos dividir la ventana en dos vista y en la inferior podemos seleccionar o bien los handles o bien las DLL's que usa un proceso:


Otra potente herramienta es la posibilidad de identificar el proceso al que pertenece una ventana. Sólo tenemos de seleccionar este icono:
arrastrarlo y soltarlo sobre la ventana seleccionada.

Estas breves líneas sólo son una enumeración de básica de las múltiples posibilidades nos proporciona esta herramienta.

En próximos posts seguiremos viendo mas herramientas de esta suite.

No hay comentarios:

Publicar un comentario