Banner 1

Herramientas para el listado de procesos

Ahora que ya conocemos un poco más el funcionamiento interno de los procesos en Windows y como guía durante un análisis en caliente de un sistema, acotaremos los datos más importantes a obtener para cada uno de ellos.
  • PID, o identificador unívoco para el proceso y que maneja el kernel de Windows.

  • Ruta absoluta así como el nombre del fichero ejecutable cuya ejecución ha derivado en un proceso.

  • Comando exacto, incluyendo los flags en el caso de haberlos, empleado para lanzar el ejecutable y, por ende, el proceso asociado.

  • Tiempo que lleva el proceso ejecutándose, lo que nos ayudará a determinar si coincide con el arranque del sistema.

  • Contexto de seguridad, o lo que es lo mismo, cuenta de usuario bajo la que se ejecuta el proceso.

  • Los módulos y/o DLLs cargadas por el proceso, así como los manejadores (o handles) pertenecientes al mismo (ficheros, claves del registro, etc).

  • Contenido de la memoria del sistema asignada al proceso.
La mayoría de los datos anteriores podrán obtenerse utilizando herramientas nativas de Windows como son el Administrador de tareas o el comando tasklist. Sin embargo otras de las características mencionadas solo podrán conocerse con herramientas de terceros, además de que no siempre podremos fiarnos de los ejecutables de que dispongamos en un sistema "supuestamente" comprometido.

A continuación indicaré algunas de las herramientas más utilizadas, así como una breve descripción de sus características.

tlist.exe
Se trata de un pequeño binario (apenas 50 KB) disponible con la instalación de las MS Debugging Tools y que se ejecuta desde la línea de comandos.

Permite mostrar el arbol de procesos en ejecución (-t), información detallada indicando su PID o una expresión regular que identifique su nombre, comando empleado para lanzarlo, etc. Sin duda un programa muy a tener en cuenta.

pslist
Perteneciente al utilísimo pack de herramientas de sysinternals, las pstools, como característica más destacable incluye la posibilidad de obtener la información referente a un sistema remoto. Como el binario anterior tambien se trataría de un programa para la línea de comandos

Su comportamiento predeterminado muestra información relativa al uso de CPU y valores asociados. Si deseamos obtener información más orientada al consumo de memoria deberemos indicar la opción -m. Otra característica muy útil es que permite indicar un tiempo de refresco en segundos (-r n) para la información mostrada por pantalla.

pulist.exe
Programa de línea de comandos disponible con el kit de herramientas de Windows 2000. Es la más simple de las mencionadas hasta el momento y al igual que pslist también puede lanzarse contra un sistema remoto. Muestra el nombre del proceso, su PID y la cuenta de usuario bajo la que se ejecuta.

cmdline
Herramienta de línea de comandos que muestra las opciones y parámetros utilizados para lanzar un proceso determinado, así como la ruta absoluta y el nombre del fichero de imagen.

Si se indica el PID (-pid:) muestra los datos del proceso en cuestión, mostrando la información para todos si no se le pasa ningún parámetro.

handle
Comando que permite mostrar la lista de manejadores (handles) abiertos por los diferentes procesos del sistema, permitiendo el cierre del manejador especificado (-c ).

La información para cada manejador es más completa si se indica el parámetro -a, reporta información contable con el parámetro -c o el usuario al que pertenece con -u.

listdlls
Comando que permite listar las librerías o DLLs utilizadas por los diferentes procesos incluyendo sus números de versión así como la ruta absoluta, nombre del ejecutable y el comando utilizado para lanzarlo.

Pueden acotarse los datos volcados si se indica el proceso en cuestión, tanto indicando su PID como su nombre (completo o parcial). Otra cualidad interesante es la mostrar los procesos que han cargado una dll concreta.

pmdump
Permite volcar el contenido de la memoria asociada a un proceso en concreto el cual se indica mediante su PID.

Process Explorer
He dejado para el final la que considero más completa de todas las anteriores dado que incluye en una sola la mayoría de las funcionalidades mencionadas hasta el momento. Como única pega su interfaz en modo gráfico, lo que dificulta mucho su utilización dentro de un script automatizado.

http://neosysforensics.blogspot.com/2008/10/herramientas-para-el-listado-de.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay