Tocando Process Explorer
En esta ocasión dedicaremos tiempo a una herramienta que todo administrador debe de tener en el ordenador y es Process Explorer una herramienta desarrollada por Mark Russinovich de Sysinternals.
Process Explorer nos ayuda para saber mucha información acerca de nuestro ordenador, específicamente con los procesos, cuales son cargados, de donde vienen, que cantidad de memoria utilizan, etc.
Cada vez que un usuario ejecuta una aplicación (.exe) este crea un proceso y es ejecutado en memoria, esto lo hacen para que su funcionamiento sea adecuado, pero una vez ejecutado y cargado este también se comunica con otros archivos (cuando utiliza librerías del sistema) que podría ser ddl.
Además de los procesos que carga el usuario al ejecutar un software, también existen procesos del sistema, Los procesos de Windows son los que tienen en el nombre de la compañía: Microsoft Corporation y suelen ser: smss.exe, csrss.exe, winlogon.exe, services.exe, svchost.exe, alg.exe, lsass.exe, explorer.exe
Ahora descarguemos el Process Explorer de Aqui
Descomprimimos y ejecutamos procexp.exe, nos aparecerá la licencia del programa, el cual aceptamos los términos presionando el botón de ‘Agree’
Una vez abierto muestra la siguiente pantalla.
Se me olvidaba mencionar el PID (ID de proceso) de un proceso, ese PID identifica el proceso en ejecución, es la primer columna del cuadrante derecho.
Como pueden ver, unos procesos dependen de otros, por ejemplo
Egui.exe
WINWORD.exe
Winamp.exe
Firefox
Procexp.exe (Process Explorer)
Los procesos antes mencionados dependen de explorer.exe (interfaz grafica)
Lo mismo sucede con services.exe.
Este programa utiliza colores para identificar procesos.
Esta el color verde, el cual indica que el programa acaba de iniciar, hace poco estaba haciendo unas pruebas en una maquina virtual en donde estaba testeando un virus de un amigo y este colorcito me fue muy útil para identificas otros procesos y archivos que ejecutaba el virus.
Color rosa: Indica los servicios del sistema, que se ejecutan en segundo plano.
El color gris: indica que el proceso esta suspendido, esta aplicación nos permite suspender los procesos en ejecución para analizarlos en profundidad.
El color lila: Este color identifica a los procesos que se mantienen siempre en ejecución. Procesos normales
Y el color rojo: Indica que el proceso terminara, en los virus es muy común ver colores Verde y Rojo.
Para entender esto, vamos ver un ejemplo.
Voy hacer uso de una herramienta del sistema, en este caso ‘netstat’
Inicio – Ejecutar – cmd.exe
Ahí esta el PID, como ven en la pantalla anterior no aparece el nombre del proceso, nada mas el PID, el estado ‘ESTABLISHED’ es que 2 maquinas están conectadas en este caso el con un servidor de mensajería instantánea AMSN. Pero si no sabemos aun de donde se ejecuta un proceso, hacemos lo siguiente:
Seleccionamos el proceso, damos clic derecho y Properties.
Nos aparece esta pantalla
Como esperábamos es el amsn (Path)
El otro cuadro Parent: nos muestra el PID
User: Que usuario ejecuta dicho proceso
Started: A que hora se inicio el proceso y la fecha
Y por ultimo el programa nos da la posibilidad de matar el proceso ‘Kill Process’
Saludos.