lunes, 17 de noviembre de 2008

Tools: El comando Tasklist

Esta herramienta, que trabaja bajo línea de comados, nos permite ver una lista completa y ordenada alfabetivamente de todas las tareas y procesos que estan activos en nuestro sistema o en un sistema remoto. Por lo tanto nos nos será de mucha utilidad a la hora de verificar la existencia de codigos maliciosos en nuestro equipo. Para cada proceso, TaskList nos muestra el nombre del proceso y el PID.

Es el equivalente al Administrador de tareas (taskmgr) que obtenemos al pulsar las teclas CTRL+ALT+SUPR. Por qué usamos el comando tasklist y no el taskmgr, simplemente porque algunos programas maliciosos (malware) despliegan como mecanismo de defensa intentar bloquear el Administrador de tareas e impedirnos el acceso al mismo.Podremos utilizar este comando bajo Windows XP y Windows Server 2003, no existe en Windows Home. Para Windows 2000 podemos usar su equivalente , el comando TList.

La informacion que obtenemos mediante este comando nos servirá luego para poder "matar" los procesos que no nos interese (o que sean objeto de nuestro interés) mediante su "process identification" (PID).También es muy útil para ser aplicado al analisis forense, por ejemplo, podemos enviar toda la informacion de los procesos a un archivo .txt con el siguiente comando:

tasklist >Procesos.txt &date /t >>Procesos.txt &time /t >>Procesos.txt

o si queremos informacion sobre los servicios que dependen de los procesos podemos usar:

tasklist /SVC >ProcesosYServicios.txt &date /t >>ProcesosYServicios.txt &time /t >>ProcesosYServicios.txt

en este caso, además de generar un archivo con extensión .txt con los procesos activos en el sistema, también obtendremos información sobre los servicios asociados a los procesos.Otra opción seria ver los servicios asociados sólo a un proceso en particular, para este caso escribiremos lo siguiente:

tasklist /svc /fi "imagename eq svchost.exe"

Ahora, si son un poco paranoicos como yo, podrían chequear la información obtenida con otra herramienta, pslist de Sysinternals, una utilidad similar al tasklist que básicamente hace lo mismo, listar los procesos y tareas en ejecución, y también nos permite obtener información en forma remota.

Y para los que no son amantes de la línea de comandos, pueden utilizar una muy buena herramienta gráfica, también de sysinternals, llamada Process Explorer. Esta herramienta posee una amplia gama de opciones para obtener información detallada de cada uno de los procesos. En otro post veremos esta utilidad en detalle.

Visto en www.mygnet.net/

Publicado por el
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)