Envolviendo y usando las herramientas juntas
Estamos al final de nuestra serie SysInternals, y es hora de concluir todo hablando de todas las pequeñas utilidades que no cubrimos en las primeras nueve lecciones. Definitivamente hay muchas herramientas en este kit..
NAVEGACION ESCOLAR- ¿Qué son las herramientas de SysInternals y cómo las usa??
- Entendiendo el Explorador de Procesos
- Uso de Process Explorer para solucionar problemas y diagnosticar
- Comprensión del monitor de proceso
- Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
- Uso de Autoruns para lidiar con procesos de inicio y Malware
- Uso de BgInfo para mostrar información del sistema en el escritorio
- Uso de PsTools para controlar otras PC desde la línea de comandos
- Analizar y administrar sus archivos, carpetas y unidades
- Envolviendo y usando las herramientas juntas
Hemos aprendido cómo usar Process Explorer para solucionar los problemas de procesos indisciplinados en el sistema, y Process Monitor para ver qué están haciendo bajo el capó. Hemos aprendido sobre las Autoruns, una de las herramientas más poderosas para lidiar con infecciones de malware, y PsTools para controlar otras PC desde la línea de comandos..
Hoy cubriremos las utilidades restantes en el kit, que se pueden usar para todo tipo de propósitos, desde ver las conexiones de red hasta ver permisos efectivos en los objetos del sistema de archivos..
Pero primero, veremos un ejemplo hipotético para ver cómo pueden usar varias herramientas juntas para resolver un problema y hacer una investigación sobre lo que está sucediendo..
¿Qué herramienta debería usar??
No siempre hay una sola herramienta para el trabajo, es mucho mejor usarlas todas juntas. Aquí hay un ejemplo de escenario para darle una idea de cómo podría abordar la investigación, aunque vale la pena señalar que hay varias formas de averiguar qué está pasando. Este es solo un ejemplo rápido para ayudar a ilustrar, y de ninguna manera es una lista exacta de los pasos a seguir..
Escenario: el sistema está ejecutando software malicioso lento y sospechoso
Lo primero que debe hacer es abrir Process Explorer y ver qué procesos están usando los recursos en el sistema. Una vez que haya identificado el proceso, debe usar las herramientas integradas en Process Explorer para verificar qué es realmente el proceso, asegurarse de que sea legítimo y, opcionalmente, analizar ese proceso en busca de virus utilizando la integración VirusTotal incorporada.
Este proceso es en realidad una utilidad SysInternals, pero si no lo fuera, lo verificaríamos.Nota: Si realmente cree que puede haber malware, a menudo es útil desconectar o deshabilitar el acceso a Internet en esa máquina mientras resuelve los problemas, aunque es posible que primero desee realizar búsquedas de VirusTotal. De lo contrario, el malware podría descargar más malware o transmitir más información..
Si el proceso es completamente legítimo, elimine o reinicie el proceso ofensivo y cruce los dedos que fue una casualidad. Si ya no desea que se inicie ese proceso, puede desinstalarlo o usar Autoruns para detener la carga del proceso al inicio.
Si eso no resuelve el problema, podría ser el momento de retirar Process Monitor y analizar los procesos que ya ha identificado y averiguar a qué intentan acceder. Esto puede darle pistas sobre lo que realmente está sucediendo, tal vez el proceso está tratando de acceder a una clave de registro o archivo que no existe o que no tiene acceso, o tal vez simplemente está tratando de secuestrar todos sus archivos y haga muchas cosas incompletas, como acceder a información que probablemente no debería, o escanear todo el disco sin una buena razón.
Además, si sospecha que la aplicación se está conectando a algo que no debería, lo cual es muy común en el caso de un software espía, podría extraer la utilidad TCPView para verificar si ese es el caso..
En este punto, es posible que haya determinado que el proceso es malware o crapware. De cualquier manera usted no lo quiere. Puede ejecutar el proceso de desinstalación si aparecen en la lista de Programas de desinstalación del Panel de control, pero muchas veces no aparecen en la lista o no se limpian correctamente. Esto es cuando se extraen las Autoruns y se encuentran todos los lugares donde la aplicación se ha enganchado en el inicio, y luego se detienen en ellos, y luego se detienen todos los archivos..
También es útil ejecutar un análisis de virus completo de su sistema, pero seamos honestos ... la mayoría de los crapware y spyware se instalan a pesar de que se instalan las aplicaciones antivirus. Según nuestra experiencia, la mayoría de los antivirus informarán felizmente "todo claro", mientras que su PC apenas puede funcionar debido al spyware y el crapware..
TCPView
Esta utilidad es una excelente manera de ver qué aplicaciones en su computadora se conectan a qué servicios a través de la red. Puede ver la mayor parte de esta información en el símbolo del sistema utilizando netstat, o enterrada en la interfaz de Process Explorer / Monitor, pero es mucho más fácil simplemente abrir TCPView y ver qué se conecta a qué.
Los colores en la lista son bastante simples y similares a los de otras utilidades: verde brillante significa que la conexión se acaba de mostrar, rojo significa que la conexión se está cerrando y amarillo significa que la conexión cambió.
También puede ver las propiedades del proceso, finalizar el proceso, cerrar la conexión o abrir un informe Whois. Es simple, funcional y muy útil..
Nota: Cuando cargue por primera vez TCPView, es posible que vea una tonelada de conexiones desde [Proceso del sistema] a todo tipo de direcciones de Internet, pero esto generalmente no es un problema. Si todas las conexiones están en el estado TIME_WAIT, eso significa que la conexión se está cerrando y no hay un proceso para asignar la conexión, por lo que deberían estar asignados al PID 0 ya que no hay un PID para asignarlo..
Esto suele suceder cuando carga TCPView después de haberse conectado a un montón de cosas, pero debería desaparecer después de que se cierran todas las conexiones y mantiene abierto TCPView.
Coreinfo
Muestra información sobre la CPU del sistema y todas las características. ¿Alguna vez se preguntó si su CPU es de 64 bits o si es compatible con la virtualización basada en hardware? Puedes ver todo eso y mucho, mucho más con la utilidad coreinfo. Esto puede ser realmente útil si desea ver si una computadora más antigua puede ejecutar la versión de 64 bits de Windows o no.
Encargarse de
Esta utilidad hace lo mismo que Process Explorer: puede buscar rápidamente para saber qué proceso tiene un identificador abierto que está bloqueando el acceso a un recurso, o eliminar un recurso. La sintaxis es bastante simple:
encargarse de
Y si desea cerrar el identificador, puede usar el código de identificador hexadecimal (con -c) en la lista combinada con el ID de proceso (el interruptor -p) para cerrarlo.
manejar -c -p
Probablemente sea mucho más fácil usar Process Explorer para esta tarea.
ListDlls
Al igual que Process Explorer, esta utilidad enumera las DLL que se cargan como parte de un proceso. Es mucho más fácil usar Process Explorer, por supuesto.
RamMap
Esta utilidad analiza el uso de la memoria física, con un montón de formas diferentes de visualizar la memoria, incluidas las páginas físicas, donde puede ver la ubicación en la RAM en la que se carga cada ejecutable..
Strings encuentra texto legible por humanos en aplicaciones y DLL
Si ve una URL extraña como una cadena en algún paquete de software, es hora de preocuparse. ¿Cómo verías esa extraña cuerda? Usar la utilidad de cadenas desde el símbolo del sistema (o usar la función en Process Explorer en su lugar).
Página siguiente: Configuración de inicio de sesión automático y ShellRunAs