3.0.3 Actividad de clase: Identificar procesos en ejecución

27/05/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: septiembre 2, 2022

3.0.3 Actividad de clase: Identificar procesos en ejecución (versión para el instructor)

En esta práctica de laboratorio utilizarán el Visor de terminales TCP/UDP, una herramienta de la suite Sysinternals, para identificar cualquier proceso en ejecución en su computadora.

Parte 1: Descargue Windows Sysinternals Suite.
Parte 2: Inicie el visualizador de terminal TCP/UDP
Parte 3: Explore los procesos de ejecución
Parte 4: Explore un proceso iniciado por el usuario.

Antecedentes / Escenario

En esta práctica de laboratorio estudiarán procesos. Los procesos son programas o aplicaciones en ejecución. Estudiarán los procesos con el Explorador de procesos en la suite Sysinternals para Windows. También iniciarán y observarán un proceso nuevo.

Recursos necesarios

  • 1 Una PC Windows con acceso a internet

Instrucciones

Parte 1: Descarguen la suite Sysinternals para Windows.

a. Diríjanse al siguiente enlace para descargar la suite Sysinternals para Windows:
https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

b. Una vez finalizada la descarga, hagan clic derecho sobre el archivo zip y elijan Extract All… (Extraer todo) para extraer los archivos a la carpeta. Elijan el nombre y el destino predeterminados en la carpeta (Downloads) Descargas y hagan clic en Extract (Extraer).

c. Salgan del navegador web

Parte 2: Inicien el Visor de terminales TCP/UDP.

a. Diríjanse a la carpeta SysinternalsSuite con todos los archivos extraídos.

b. Abran Tcpview.exe. Acepten el Acuerdo de licencia de Process Wxplorer cuando el sistema se lo solicite. Hagan clic en Yes (Sí) para permitir que esta aplicación realice cambios en sus dispositivos.

c. Salgan del Explorador de archivos y cierren todas las aplicaciones en ejecución.

Parte 3: Estudien los procesos en ejecución.

a. TCPView incluye en una lista los procesos que se encuentran en este momento en su PC Windows. En este instante, solo se están ejecutando procesos de Windows.

b. Hagan doble clic en lsass.exe.

Preg unta:

¿Qué es lsass.exe? ¿En qué carpeta está ubicado?
Proceso de autoridad de seguridad local es el nombre para lsass.exe. Se encuentra en la carpeta C:\Windows\System32\.

c. Cierren la venta de propiedades correspondiente a lsass.exe cuando hayan terminado.

d. Miren las propiedades correspondientes a los otros procesos en ejecución.

Nota: No se puede consultar la información de las propiedades correspondiente a todos los procesos.

Parte 4: Estudien un proceso iniciado por el usuario.

a. Abra un navegador web, como Microsoft Edge.

¿Qué observaron en la ventana de TCPView?
Los procesos para el navegador web se agregan a la ventana de TCPView.

b. Cierre el navegador web.

Preg unta:

¿Qué observaron en la ventana de TCPView?
Los procesos para el navegador web se eliminarán de la ventana de TCPView.

c. Vuelvan a abrir el navegador web. Estudien algunos de los procesos de la lista de TCPView. Registre sus conclusiones.
Las respuestas pueden variar. El proceso lsass.exe comprueba la validez de los inicios de sesión
de usuario en la PC. El ejecutable services.exe se utiliza para iniciar y detener servicios y cambiar
la configuración predeterminada del inicio de servicios. El proceso svnhost.exe (host de servicio)
maneja el proceso de compartir recursos del sistema. La mayoría de estos recursos mencionados
se encuentra en la carpeta C:\Windows\System32\. Si estos ejecutables se encuentran en otras
partes del sistema, tal vez malware, como virus, spyware, troyanos o gusanos.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax