Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Microsoft libera como código abierto Process Monitor para Linux




Si llevas ya un tiempo usando Windows y has tenido que buscar cómo resolver algún pequeño problema de tu sistema operativo, es posible que ya hayas usado alguna de las útiles aplicaciones de  SysInternals, pequeños programas gratuitos que nos permiten profundizar fácilmente en las interioridades de Windows.










  • Sysinternals, desarrollado por Mark Russinovichel antiguo propietario de Sysinternals que fue adquirida por Microsoft en julio de 2006

Windows Sysinternals

El sitio web de Sysinternals lo crearon en 1996 Mark Russinovich y Bryce Cogswell para alojar sus utilidades de sistema avanzadas, junto con información técnica. En julio de 2006, Microsoft adquirió Sysinternals. Tanto profesionales como desarrolladores de TI encontrarán utilidades en Sysinternals para facilitar la administración y el diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que pudieran surgir al respecto.

ProcMon (o Process Monitor)


Esta 'suite' de utilidades, creadas en origen por la compañía Winternals -propiedad de Microsoft desde 2006-, cuenta entre sus miembros más destacados a ProcMon (o Process Monitor), un completo (y estéticamente retro) software que nos permite monitorizar en tiempo real la actividad de los procesos del sistema, del Registro de Windows y del sistema de ficheros.

Process Monitor (Procmon) es una reinvención de Linux de la herramienta Procmon clásica del conjunto de herramientas Sysinternals para Windows. Procmon proporciona una forma conveniente y eficiente para que los desarrolladores de Linux rastreen la actividad syscall en el sistema






Esta información facilita a los usuarios diagnosticar problemas a la hora de enfrentarse a casos de bloqueo de programas, de uso excesivo de recursos del sistema ​​e incluso a posibles infecciones de malware.

Una de las características más interesantes es la creación de filtros, con ellos podremos filtrar por una amplia gama de criterios y mostrar la información que nos interesa.

Además podremos agregar o eliminar columnas según  la necesidad de información que cada uno deseemos obtener.

Otra característica interesante es que en la visualización del árbol de procesos o threads, donde podremos ver los paths donde se alojan y las dependencias (módulos) de librerías dll u otros exe de los que depende dicho proceso. También se puede comprobar operaciones a nivel de pila, mostrando los valores de la dirección de memoria donde se están efectuando las acciones, entre otras opciones.

Programas de Microsoft que desembarcan en Linux 


ProcDump


A finales de 2018, Microsoft lanzó la versión para Linux y open source de ProcDump, otra de las aplicaciones de SysInternals, y anunció que la compañía trabajaba en hacer lo propio con otras herramientas de dicha suite. Concretamente, se puso sobre la mesa el nombre de ProcMon.

El objetivo de dicho movimiento no era únicamente el de ser generosos con la comunidad linuxera, sino también poder aprovechar el software ya desarrollado para Windows en las máquinas virtuales de Azure, donde Linux empezaba a alzarse como el sistema operativo preferido por las empresas.

Ahora, año y medio después, por fin Microsoft ha anunciado la disponibilidad de ProcMon para Linux. Como en el caso de su 'hermana' ProcDump, esta versión es 'open source' y pensada para su uso en línea de comandos, lo que además le dota de una gran flexibilidad de uso.


En su repositorio de GitHub tienes toda la información necesaria para compilar e instalar el programa a partir del código alojado en el mismo. Sólo debemos tener en cuenta una mala noticia: dado que la primera versión de subsistema Linux no permite un seguimiento de los eventos del kernel, sólo podremos probar ProcMon en nuestros equipos Windows si contamos con WSL2.


Usage: procmon [OPTIONS]
OPTIONS
-h/--help Prints this help screen
-p/--pids Comma separated list of process ids to monitor
-e/--events Comma separated list of system calls to monitor
-c/--collect [FILEPATH] Option to start Procmon in a headless mode
-f/--file FILEPATH Open a Procmon trace file

git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

cd ../..
git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make
make install

Herramientas de Microsoft - Sysinternals


Autoruns




Esta herramienta, que cuenta con la lista más amplia de ubicaciones de inicio automático, muestra qué programas están configurados para ejecutarse durante el arranque del sistema o de inicio de sesión, y muestra las entradas en el orden en que Windows las procesa. Estos programas incluyen los de su carpeta de inicio, Run, RunOnce, y otras claves del registro. Puede configurar Autoruns para mostrar otras ubicaciones, incluidas las extensiones de shell del Explorador, barras de herramientas, objetos de ayuda del navegador, las notificaciones de Winlogon, servicios de inicio automático, y mucho más. Autoruns extiende por mucho la utilidad MSConfig incluida en Windows Me y XP.
Permite entre otras cosas comprobar qué programas se ejecutan al inicio y comparar un análisis realizado previamente para ver qué cambios que ha habido en el sistema.

ProcessExplorer



ProcessExplorer es, como su nombre indica, un explorador de procesos. Su interfaz gráfica se compone de dos subventanas; la superior siempre muestra una lista de los procesos activos, incluidos los nombres de las cuentas que poseen, mientras que la información mostrada en la inferior depende del modo en que Process Explorer esté configurado. En el modo de DLL, mostrará los archivos DLL y archivos asignados en memoria que el proceso ha cargado. Process Explorer también tiene una herramienta de búsqueda muy potente que mostrará rápidamente qué procesos tienen handlers abiertos o sus DLL cargados.

Las capacidades de Process Explorer lo hacen especialmente útil para localizar problemas de DLL – versión o pérdidas de identificadores, y para dar una idea de la forma de funcionar de Windows y otras aplicaciones.

La opción Verify nos permite, poder verificar la firma del software así podemos comprobar si es legítimo o no. Si el fabricante del software ha firmado correctamente su software podremos comprobarlo con Process Explorer.

ProcessExplorer ofrece una serie de opciones para analizar malware, entre sus capacidades destacan las siguiente:

  • - Process TimeLine. Posibilidad de gráficamente de forma muy visual cuando se inicia un proceso:
  • - Verificación de firmas. A través de un botón de verificación es posible verificar la firma digital de un proceso, en el caso de que conlleve un certificado embebido
  • - Caracterización mediante colores. A través de colores, podremos determinar de forma visual si estamos frente a un servicio, una aplicación bajo contexto "Explorador de Windows", o frente a una aplicación empaquetada o comprimida.
  • - Panel inferior. A través de este panel se pueden observar las bibliotecas cargadas por un proceso especifico, así como los manejadores (handles) utilizados.

Process Monitor




Process Monitor es una herramienta de monitorización avanzada para Windows que muestra en tiempo real actividad en el sistema de archivos, el registro, y los procesos en ejecución. Combina las características de las herramientas Filemon y Regmon, y añade una amplia lista de mejoras que incluyen el filtrado avanzado y no destructivo, las propiedades de eventos integrales tales como identificadores de sesión y nombres de usuario, pilas de threads completas con soporte para símbolos integrados de cada operación, registro simultáneo en un archivo, y mucho más. Las características de Process Monitor hacen de ella una utilidad fundamental en la solución de problemas del sistema y en el conjunto de instrumentos de caza de malware.

TCPview



TCPView es un programa de Windows que muestra la lista detallada de todos los puntos finales TCP y UDP en el sistema, incluyendo las direcciones y el estado de las conexiones TCP locales y remotas. En Windows Server 2008, Windows Vista y XP, TCPView también informa del nombre del proceso que posee el punto final. TCPView proporciona un subconjunto más informativo y bien presentado del programa Netstat que se incluye con Windows.


PsExec

PsExec es desarrollado por Mark Russinovich, el antiguo propietario de Sysinternals que fue adquirida por Microsoft en julio de 2006. Actualmente se encuentra disponible en la versión 2.2 y se puede descargar desde Microsoft Technet aquí.

PsExec es "cielo" cuando se habla de ejecución remota, en primer lugar, ya que no requiere ningún agente instalado en los equipos remotos. Debe especificar un nombre de equipo y el comando que se debe ejecutar como conmutadores en un símbolo del sistema - que es básicamente! Detrás de las escenas de un servicio se está instalando 'ad hoc' a distancia y se retira de nuevo cuando se ha ejecutado el comando.

Un pequeño consejo es colocar el archivo PsExec.exe en "% windir%" de la guía, porque entonces no tenemos que especificar la ruta completa a este archivo cuando se ejecuta desde una línea de comandos, etc

Para actualizar las directivas de grupo en el equipo remoto 'nombreDeEquipo' todo lo que tenemos que escribir es el siguiente mandato: "PsExec \ \ nombre de equipo Gpupdate". El usuario ha iniciado sesión en el equipo remoto no veas ninguna actividad, pero en el fondo se Gpupdate 'refresh' tanto las políticas de usuario y de equipo y aplicar cualquier cambio que faltan. Se podría pensar que PsExec debe ejecutarse con el conmutador "-i" (interactiva) para actualizar los usuarios remotos políticas específicas de los usuarios, pero las pruebas muestran que este no es el caso.

Fuentes:
https://www.genbeta.com/linux/microsoft-libera-como-codigo-abierto-version-para-linux-su-herramienta-diagnostico-process-monitor

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.