MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

15.4.07

HERRAMIENTAS: COMANDO TASKLIST
Como lo había prometido en el post "Herramientas de Windows XP" les iré mostrando algunas herramientas que nos ayudarán a solucionar algunos problemas, ya sean relacionados a malware, a networking o a otros inconvenientes de seguridad.

En esta oportunidad se trata del comando TaskList. Esta herramienta, que trabaja bajo línea de comados, nos permite ver una lista completa y ordenada alfabetivamente de todas las tareas y procesos que estan activos en nuestro sistema o en un sistema remoto. Por lo tanto nos nos será de mucha utilidad a la hora de verificar la existencia de codigos maliciosos en nuestro equipo.
Para cada proceso, TaskList nos muestra el nombre del proceso y el PID.

Imagen 1: salida del comando tasklist

Es el equivalente al Administrador de tareas (taskmgr) que obtenemos al pulsar las teclas CTRL+ALT+SUPR. Por qué usamos el comando tasklist y no el taskmgr, simplemente porque algunos programas maliciosos (malware) despliegan como mecanismo de defensa intentar bloquear el Administrador de tareas e impedirnos el acceso al mismo.

Podremos utilizar este comando bajo Windows XP y Windows Server 2003, no existe en Windows Home. Para Windows 2000 podemos usar su equivalente , el comando TList.

La sintaxis de esta herramienta es la siguiente:

tasklist [/s equipo [/u dominio\usuario [/p contraseña]]] [{/m módulo /svc /v}] [/fo {TABLE LIST CSV}] [/nh] [/fi filtro [/fi filtro [ ... ]]]
Como parámetro le podemos pasar la siguiente información:

/s equipo: Especifica el nombre o la dirección IP de un equipo remoto (no utilice barras diagonales inversas). El valor predeterminado es el equipo local.

/u dominio\usuario: Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. El valor predeterminado son los permisos del usuario que inició la sesión actual en el equipo que emite el comando.


/p contraseña: Especifica la contraseña de la cuenta de usuario especificada en el parámetro /u.

/m módulo:
Enumera todas las tareas en las que se han cargado módulos DLL que concuerdan con el nombre de patrón especificado. Si no se especifica el nombre de módulo, esta opción muestra todos los módulos cargados por cada tarea.

/SVC: Muestra los servicios en cada proceso.

/V: Especifica que la información sea mostrada.

/?:
Muestra Ayuda en el símbolo del sistema.


La informacion que obtenemos mediante este comando nos servirá luego para poder "matar" los procesos que no nos interese (o que sean objeto de nuestro interés) mediante su "process identification" (PID).

También es muy útil para ser aplicado al analisis forense, por ejemplo, podemos enviar toda la informacion de los procesos a un archivo .txt con el siguiente comando:

tasklist >Procesos.txt &date /t >>Procesos.txt &time /t >>Procesos.txt
o si queremos informacion sobre los servicios que dependen de los procesos podemos usar:

tasklist /SVC >ProcesosYServicios.txt &date /t >>ProcesosYServicios.txt &time /t >>ProcesosYServicios.txt
en este caso, además de generar un archivo con extensión .txt con los procesos activos en el sistema, también obtendremos información sobre los servicios asociados a los procesos.

Otra opción seria ver los servicios asociados sólo a un proceso en particular, para este caso escribiremos lo siguiente:

tasklist /svc /fi "imagename eq svchost.exe"
Imagen 2: servicios asociados al proceso svchost.exe

Ahora, si son un poco paranoicos como yo, podrían chequear la información obtenida con otra herramienta, pslist de Sysinternals, una utilidad similar al tasklist que básicamente hace lo mismo, listar los procesos y tareas en ejecución, y también nos permite obtener información en forma remota.

Imagen 3: salida del comando pslist

Y para los que no son amantes de la línea de comandos, pueden utilizar una muy buena herramienta gráfica, también de sysinternals, llamada Process Explorer. Esta herramienta posee una amplia gama de opciones para obtener información detallada de cada uno de los procesos. En otro post veremos esta utilidad en detalle.

Espero que esta primera entrega sea de vuestra utilidad.
Process Explorer 10.21
http://download.sysinternals.com/Files/ProcessExplorer.zip

PsList 1.28
http://download.sysinternals.com/Files/PsTools.zip


jam

0 comentarios: