Usando Process Explorer

"Process Explorer (PE) es una herramienta avanzada para la administración de procesos, que provee de más funcionalidades que el Administrador de Tareas. PE mostrara infomación detallada acerca de cada proceso, incluyendo sus iconos, linea de comando, la ruta completa del ejecutable, estadisticas de uso de memoria, la cuenta del usuario al que le pertenec, atributos de seguridad y más."

Como vemos en esta breve descripción PE nos permite hacer lo que el Administrador de Tareas que trae windows, pero además nos da una gran canditad de funcionalidades adicionales.

Cuando ejecutamos PE por primera vez, nos mostrara una ventana que es el EULA, que no es otra cosa más que la licensia de uso. En esta ventana hay que pulsar Agree como se muestra en la figura siguiente.



Una vez que hemos aceptado el EULA, se nos presenta una ventana como la siguiente, la cual nos muestraciertos detalles que sobresalen a primera vista, como lo son el hecho de tener los procesos en una forma jerarquica o en arbol, es decir se puede observar con claridad que un proceso depende de otro.




Hay que decir que una de las fortalezas de PE es que a simple vista podemos deducir muchas cosas en su ventana pricipal, debido a que se ha implementado un código de colores, que nos permiten saber si un proceso se ha creado, eliminado, esta encriptado/empaquetado, es un servicio y otras más. Asi que para ir conociendo el uso de la herramienta lo primero que debemos de entender es que significa cada color y lo que representa esa acción en la computadora.

Iniciaremos por el color Verde, el cual nos indica que un proceso se acaba de crear, esto es que se ha inciado una aplicación en la computadora. Esto nos es muy util cuando estamos buscando malware en el equipo, puesto que muchas veces hay algunos virus que se incian, luego comienzan otro proceso, por ejemplo Internet Explorer (ieplore.exe o IE), le injectan un hilo, y este se cierran, dejando el proceso iexplorer.exe como el culpable, de todo.



Veamos ahora el color Rojo, que sigunifica que un proceso esta terminandoze o que se ha terminado. Esto, se utiliza en conjunto con la creación, puesto que si sabemos que se inicia y se termina(en otras palabras le seguimos la pista), estaresmos en posibilidad de conocer un poco más a nuestro adversario.



Sigamos pues con el color rosa, el cual nos inica que se trata de un servicio del sistema operativo. Los servicios son una clase especial de programas los cuales normalmente no suelen interactuar dirctamente con el usuario, sino que prestan sevicios al sistema y a todos los procesos que en este se ejecutan, por ejemplo el inicio de sesión, o varias de las funciones de red.

Ahora prosigamos con el color lila, que representa a los procesos normales, es decir a la gran mayoria de aplicaciones que usamos día a día en nuestras labores, ya sea en la casa o trabajo.


El siguiente colo es uno que no es muy bueno de tener, ya que representa a los procesos cuyos ejecutables estan encriptados o empaquetados (algo que se prodia comparar a comprimir con zip) o bien en algunos casos ambos atributos. Este tipo de proceso, hay que decirlo, no es normal ya que la gran mayoria de programas normales o que provienen de fuentes confiables (lease casas de software) no suelen usar empaquetadores/encriptores en su software, puesto que esto es riesgoso por el hecho de que muchos virus los usan, provocando que algunos antivirus detecten sus productos como "Malware". Claro que hay exepciones, una de las más grandes es Skype, el cual esta encriptado, esto para evitar que se pueda copiar su algoritmo de comunicación.

Ya para terminar veremos el color Gris obscuro, el cual nos indica que un proceso esta pausado o suspendido (suspended en inglés). Esta capacidad de poder suspender procesos es una de las mejores caracteristicas que a mi punto de vista tiene PE. Hay ocaciones en las que existen dos o más procesos relacionados entre si, cada uno vigilando que no eliminen a alguno de ellos, y en caso de que eso suceda, lo vuelven a iniciar, eso es algo que cuando se usa el Administrador de Tareas, es muy molesto, puesto que apenas terminas un proceso, este se vuelve a ejecutar.

todas los colores anteriores se engloban en esta imagen siguiente.



Antes de continuar, debo de hacer la aclaración de que esta lista o código de colores que he dado, son los que vienen por default, es decir cuando recien lo ejecutas. Sin embargo PE va un poco más alla y da la posibilidad de poder cambiar esos colores y asignarles el valor que deseemos. Si bien esto no es dificil, esta más fuera de los alcances de está entrada.


Ahora si que ya sabemos lo que significa cada color, estamos en la capaciada de poder aprender a usar las caracteristicas que nos brinda PE.

Aquí en esta imagen podemos observar que tenemos varios procesos, uno de ellos pausado, uno encriptado y otros más normales, así como algunos servicios.

Terminando Procesos

Cuando tenemos que aniquilar a un virus del sistema, lo primero que debemos de hacer es terminar el virus, es decir terminar su proceso, lo cual es muy fácil de hacer en circunstancias donde el virus es del tipo que no utiliza ningun método extra para verificar que se esta ejecutando. Lo unico que tenemos que hacer es localizar el proceso que deseamos terminar, darle click derecho y seleccionar "Kill process", lo cual terminara el proceso en memoria.



Algunas ocaciones nos toparemos con virus que tienen procesos hijos, es decir que una vez que se inicia el virus, este ejecuta a otros programas, eso se conoce como proceso hijo. En la imagen se ve un ejemplo, que si bien no es de virus, sino de Explorer.exe y procexp.exe (el explorardor de windows y process explorer respectivamente), nos deja ver lo que es un proceso padre y un proceso hijo. Hay que notar que un proceso hijo puede lanzar a su vez otro proceso, por lo tanto un proceso puede ser hijo y padre a la vez. En muchos de estos caso, si eliminamos al proceso hijo, el padre detectara que este ha sido terminado y lo volvera a ejecutar, o si eliminamos a el hijo, notara que el padre ha sido terminado y lo volvera a ejecutar, intercambiando los papeles (el padre pasara a se el hijo y viceversa). Para casos de este tipo, basta con seleccionar el proceso padre, dar click drecho y seleccionar "Kill process tree", que terminara todo el arbol de procesos, es decir terminara al padre y al hijo y más decendendica si fuera necesario, al mismo tiempo, evitanto así lo ya antes mencionado.



¿Pero que pasa cuando hay dos procesos que tienen el compartamiento descrito anteriormente, pero que de alguna manera no son padre e hijo?
Bueno como ya vimos terminar un árbol de procesos es relativamente fácil, por lo que los creadores de malware, suelen evitar este comportamiento de hijos y padres, de una forma muy sencilla y efectiva. Cuando un proceso detecta que su compañero ha sido terminado, este lo vuelve a ejecutar, por lo tanto el proceso recien creado se combierte en hijo, sin embargo este proceso hijo rápidamente se ejecuta a si mismo, si generando otro hijo, asi el proceso hijo incial ahora es padre e hijo a la vez. El siguiente paso es terminar al proceso que une a el padre y al segundo hijo, dejando al tercer proceso "huerfano", por así decirlo, y sobre todo fuera del arbol del proceso inical, así si tratamos de elimiar a algunos de los procesos por medio de "Kill process tree" solamente eliminaresmos a uno de ellos, y el ciclo vuelve a iniciar.



Es en este tipo de infecciones, donde PE demuestra su valor y alto desempeño, tal y como ya habiamos adelantado en la parte de explicación de colores, PE nos permite pausar los procesos, es decir que suspendemos su ejecución. Si nos vamos al ejemplo de los proces antes descrito, esto equivale a dormir al proceso, así cuando el otro proceso busque a su compañero, este seguira vivo, aunqeu dormido (ustedes nomas no le digan y veran que todo sale bien), por lo tanto no hay necesidad de volver a iniciarlo, lo que sigue, pues hay de dos sopas, podemos pausar el segundo proceso y después eliminaro, o podemos eliminarlo sin pausarlo, en ambos caso, lo siguiente será eliminar al otro proceso que pausamos primero, y asi evitareamos que se sigan iniciando uno al otro.

Bueno en teoría suena fácil, pero porque no pausamos un proceso, bien, simplemente damos un click con el boton derecho sobre nuestra victima (osea el proceso que queremos pausar) y seleccionamos "Suspend", y listo hemos pausado a nuestra victima.






¿Difícil? no verdad ;).


Otra de las caracteristicas con las que cuenta PE es la de poder ver la ruta completa desde la que se ejecuta un programa, es decir que no solo nos muestra el nombre del ejecutable, sino que además su ruta completa. Esto es muy importante puesto que nos permite ver si un proceso es o no el que dice ser.
La mayoría de las personas no conocen el nombre de los procesos que son parte del sistema operativo, y esto es normal puesto que no tienen necesidad de saberlo, algunos usuarios, saben por ejemplo que existen procesos llamados lsass.exe, services.exe, winlogon.exe entre otros, aunque no tienen la más remota idea para que sirven, y en este caso también no tienen necesidad de saberlo. Bien pues la mayoria de los creadores de malware también saben eso, que la gente suele tener un conocimiento nulo o casi nulo del sistema, por lo hay muchos que elijen nombres de archivos del sistema, para disfrazar a sus creaturitas(virus). Así pues en windows XP, habra que verificar que la ruta de los procesos del sistema sea la correcta (normalmanete C:\windows\system32\archivo.exe donde archivo.exe es el nombre del programa), así como verificar que solo exista un solo proceso ejecutandose, de cada servicio, con exepción de svohost.exe que suele tener tres o más copias ejecutandose.




Otra cosa que suele delatar a el malware es la ausencia de icono en el programa, es decir si vemos en el PE, la mayoria de los procesos tienen un iconito asociado, pero en el caso de los virus, este suele ser una ventana blanca con marco azul, tal como la tienen los servicios (si los que estan en rosita). Claro que si un proceso no tiene icono esto no significa automaticamente que se trate de un virus, pero si es una señal para encender las alarmas.