SysInternals – Process Explorer

Introducción

SysInternals es una suite de herramientas de administración para sistemas Microsoft Windows. Están orientadas a informáticos avanzados, administradores de sistemas y personas que necesiten información de su sistema mas allá de las opciones por defecto del propio Windows. Su web pertenece actualmente a la web oficial de soporte técnico de Microsoft, la podéis encontrar en éste enlace, la crearon Mark Russinovich y Bryce Cogswell en 1996 para subir sus utilidades de sistema avanzadas,  tiempo más tarde (2006) la compró Microsoft y la incluyó entre sus herramientas de administración, una de las primeras modificaciones que realizaron a Sysinternals fue eliminar la herramienta NT-Locksmith, una utilidad para recuperar passwords. Estas herramientas son bastante útiles a la hora de identificar un mal funcionamiento o infección en un sistema Windows.  Tenéis un índice de las herramientas en el siguiente enlace, donde os podéis descargar cada una por separado, si por el contrario las queréis todas en un paquete, podéis descargarlo en éste enlace. Pese a que la suite completa no pesa más de 14Mb, sus herramientas traen consigo funcionalidades muy potentes que no están disponibles en Microsoft Windows por defecto.

Por otra parte también tenemos el blog de Mark donde podemos ver una serie de posts que ilustran las enormes capacidades de esta suite de herramientas.

Process Explorer

Una de las aplicaciones más conocidas de esta suite es process explorer, un monitor de sistema con características avanzadas, con el podemos encontrar qué archivo, registro u otros objetos de los procesos están siendo utilizados, pudiendo localizar las librerías (DLL) que tienen cargadas entre otras cosas.

Proccess_Explorer

Una de las características más potentes de este monitor de procesos es que puedes comprobar directamente un hash de un proceso contra el motor de VirusTotal, lo cual permite comprobar el proceso que queramos contra más de 50 motores antivirus. Para utilizarlo es tan simple como hacer click con el botón secundario encima del proceso y dar a Check Virustotal.

VirustotalMenu

Una vez hecho esto podemos ver en la última columna las estadísticas que nos ha devuelto virustotal y saber si algún motor de antivirus ha identificado ese proceso como malicioso.

Una cosa que por defecto nos cuesta ver en Windows con su administrador de tareas son los hilos que lanzan cada proceso, gracias a process explorer podemos ver todos los threads de un proceso haciendo click con el botón secundario en «Propiedades«, una vez ahí nos vamos a la pestaña «Threads«.

PropiedadesProcessExplorer1

Si queremos observar las conexiones TCP que realice un proceso determinado nos iremos a propiedades y haremos click en la pestaña TCP, una vez se nos abra irá monitoreando en tiempo real todas las conexiones que está realizando el proceso en ese momento.

PropiedadesTCP-ProcessExplorer

Entre otras cosas también podemos sacar los strings del proceso que queramos, analizar la imagen de icono que utiliza u obtener datos acerca del entorno donde se esté ejecutando el proceso.