2.0.1.2 Actividad de clase: Identificar procesos en ejecución

14/10/2022 CyberOps v1.1 Leave a comment

Última actualización: octubre 14, 2022

2.0.1.2 Actividad de clase: Identificar procesos en ejecución (versión para el instructor)

Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece solo en la copia del instructor.

Objetivos

En esta práctica de laboratorio utilizarán el Visor de terminales TCP/UDP, una herramienta de la suite Sysinternals, para identificar cualquier proceso en ejecución en su computadora.

Antecedentes / Escenario

En esta práctica de laboratorio estudiarán procesos. Los procesos son programas o aplicaciones en ejecución. Estudiarán los procesos con el Explorador de procesos en la suite Sysinternals para Windows. También iniciarán y observarán un proceso nuevo.

Recursos necesarios

• 1 PC Windows con acceso a Internet

Paso 1: Descarguen la suite Sysinternals para Windows.

a. Diríjanse al siguiente enlace para descargar la suite Sysinternals para Windows:
https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

b. Una vez finalizada la descarga, hagan clic derecho sobre el archivo zip y elijan Extract All… (Extraer todo) para extraer los archivos a la carpeta. Elijan el nombre y el destino predeterminados en la carpeta (Downloads) Descargas y hagan clic en Extract (Extraer).

c. Salgan del navegador web

Paso 2: Inicien el Visor de terminales TCP/UDP.

a. Diríjanse a la carpeta SysinternalsSuite con todos los archivos extraídos.

b. Abran exe. Acepten el Acuerdo de licencia de Process Wxplorer cuando el sistema se lo solicite. Hagan clic en Yes (Sí) para permitir que esta aplicación realice cambios en sus dispositivos.

c. Salgan del Explorador de archivos y cierren todas las aplicaciones en ejecución.

Paso 3: Estudien los procesos en ejecución.

a. TCPView incluye en una lista los procesos que se encuentran en este momento en su PC Windows. En este instante, solo se están ejecutando procesos de Windows.

b. Hagan doble clic en lsass.exe.

¿Qué es lsass.exe? ¿En qué carpeta está ubicado?
Proceso de autoridad de seguridad local es el nombre para lsass.exe. Se encuentra en la carpeta C:\Windows\System32\.

c. Cierren la venta de propiedades correspondiente a lsass.exe cuando hayan terminado.

d. Miren las propiedades correspondientes a los otros procesos en ejecución.

Nota: No se puede consultar la información de las propiedades correspondiente a todos los procesos.

Paso 4: Estudien un proceso iniciado por el usuario.

a. Abra un navegador web, como Microsoft Edge.

¿Qué observaron en la ventana de TCPView?
Los procesos para el navegador web se agregan a la ventana de TCPView.

b. Cierre el navegador web.

¿Qué observaron en la ventana de TCPView?
Los procesos para el navegador web se eliminarán de la ventana de TCPView.

c. Vuelvan a abrir el navegador web. Estudien algunos de los procesos de la lista de TCPView. Registre sus conclusiones.
Las respuestas pueden variar. El proceso lsass.exe comprueba la validez de los inicios de sesión de usuario en la PC. El ejecutable services.exe se utiliza para iniciar y detener servicios y cambiar la configuración predeterminada del inicio de servicios. El proceso svnhost.exe (host de servicio) maneja el proceso de compartir recursos del sistema. La mayoría de estos recursos mencionados se encuentra en la carpeta C:\Windows\System32\. Si estos ejecutables se encuentran en otras partes del sistema, tal vez malware, como virus, spyware, troyanos o gusanos.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax