Mario Chilo IT Security Professional

Profesional en Ingeniería de Sistemas. Especialista en Tecnologías de la Información, Seguridad Informática y Data Recovery. Analista de virus informáticos y código malicioso. Experto en Tecnicas de Detección y Eliminación de Software Malicioso.

Aqui tenemos al Process Explorer, este producto ahora en manos de Microsoft, fue desarrollado por "Mark Russinovich", fundador de la compañia Sysinternals. Actualmente Mark trabaja para Microsoft.

Este potente utilitario nos permite ver los procesos que estan corriendo en tiempo real en nuestro sistema operativo(Windows).

Pueden descargar este utilitario que es totalmente Free, de la siguiente URL:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

En primer lugar debe quedar claro que esta es una de las herramientas a utilizar con mayor frecuencia al momento de eliminar un Malware (que no sea un virus o un rootkit). El Administrador de Tareas o Task Manager solo deberia de utilizarse en caso no contemos con esta herramienta. Esta herramienta nos permite ver de modo profesional y avanzado todos los procesos que estan corriendo en el Sistema Operativo. Por lo general nos muestra una ventana dividida en 2 partes, la ventana superior nos muestra todos los procesos que estan corriendo en memoria. La ventana inferior los archivos que estan asociados a ellos.
Aqui vemos información que la mayoria de usuarios no comprenderian, y no sabria cual es un malware o cual no. Solo les digo que con la practica van a poder llegar a analizar todos los procesos en pocos minutos y determinar si la maquina esta infectada o no.
Primero antes que nada debemos conocer que hacen los procesos, para esto podemos investigar en internet los nombres de cada uno de los procesos para determinar su funcionamiento y sus caracteristicas. Obviamente es basico la utilización de algun buscador en internet, yo particularmente utilizo Google. Veamos algunas paginas que analizan procesos:

http://www.fileinspect.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
Para DLLs:
http://www.liutilities.com/products/wintaskspro/dlllibrary/

Luego de haber analizado cuales archivos son potencialmente peligrosos o sospechosos. Podemos al igual que el Task Manager, "matar el proceso de memoria". Pero tenemos la ventaja de suspender un proceso, esto es en el caso el proceso no se pueda finalizar.
Este ha sido el primer post relacionado al Process Explorer, mas que nada una presentación, en proximos post estaremos tocando a mayor profundidad las bondades de esta herramienta.

Cuando trabaja en MS-DOS, habia una opcion bastante util que me permitia ver cuales eran las rutas por defecto que estaban cargadas en DOS. Este comando era PATH, actualmente sigue funcionando y nos permite ver desde la ventana de comando del DOS, ver las rutas que estan establecidas tambien en Windows.

Ingresamos a Inicio -- > Ejecutar
Escribimos el comand: CMD

Aparecera la ventana de comando de DOS, aqui escribimos el comando PATH, luego presionamos ENTER.
Ventna de Comandos de MS-DOS

Como pueden ver en la imagen, al ingresar el comando PATH, nos muestra la rutas de las carpetas que estan seleccionadas. Este comando hace posible que cualquier archivo que se encuentre en esas rutas sea de acceso directo desde que cualquier ruta del disco duro de la PC; es decir estando en cualquier carpeta de Windows podamos accesar de manera automatica a un programa o Software.


Esta opción es bastante utilizada hoy en dia por los programadores (desarrolladores), para que se pueda accesar a sus aplicaciones con facilidad. Tambien es utilizado por la gente de soporte tecnico para utilizacion de utilitarios en una carpeta especifica.

Siguiendo el ejemplo, nos encontramos en la ventana de comandos de MS-DOS, escribimos nuevamente el comando PATH, ahora con algunos parametros:

C:\> PATH=%PATH%;C:\UTILITARIOS

Este comando nos permitira añadir al PATH, la ruta C:\UTILITARIOS. Esto nos permitira ejecutar cualquier programa o aplicacion que se encuentre en esa ruta. Ahora este comando solo funciona de forma temporal, mientras se encuentre prendido la PC, luego al reiniciar se perdera la configuracion de este comando.

Ahora si queremos fijar o definir en forma permanente este comando, hay que seguir los siguientes pasos:

1. Clic Derecho en "Mi PC"
2. Seleccionar "Propiedades"
3. Aparecerá la ventana de Propiedades del Sistema

Ventana de Propiedades de Mi PC

4. Aqui selecciona la viñeta "Opciones Avanzadas".

Opciones Avanzadas/p>

5. Seleccionar el Botón "Variables de entorno".

Variables de Entorno

6. Luego Seleccionar en la parte inferior en Variables del Sistema, la opción "Path".
7. Luego hacer Clic en el botón "Modificar".

Añdir una Ruta

8. Aqui ingresaremos una ruta, para el ejemplo ingresaremos "C:\Utilitarios". Recordar que antes de ingresar esta ruta debera estar precedido por ";" (punto y coma).
9. Clic en "Aceptar", "Aceptar", "Aceptar".

Listo, ya hemos agregado una ruta en forma permanente en el PATH de Windows.