A contiinuación comaprto un breve tutorial de análisis de la herramienta SysInspector de Eset.
Link: http://www.eset-la.com/support/sysinspector.php
Versión en Español;
ESET SysInspector 32-bit: http://download.eset.com/download/sysinspector/32/ESN/SysInspector.exe
ESET SysInspector 64-bit: http://download.eset.com/download/sysinspector/64/ESN/SysInspector.exe
Versión en Ingles;
ESET SysInspector 32-bit: http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe
ESET SysInspector 64-bit: http://download.eset.com/download/sysinspector/64/ENU/SysInspector.exe
ESET SysInspector es un software gratuito desarrollado por ESET que permite recolectar información crítica relacionada a determinadas actividades que se realizan en un sistema operativo. Extrae todos los datos posibles, para poder tener un mayor control de que aplicaciones están ejecutándose, el uso de librerías, quien las utiliza, conexiones de red y alguna cosilla más que iremos viendo sobre la marcha.
“ESET SysInspector está concebido como herramienta de análisis y no como herramienta de desinfección o reparación de los daños ocasionados por códigos maliciosos u otras aplicaciones”
No necesita privilegios de Administrador para ser ejecutado, pero la cantidad y detallle de información que suministre dependerá de los permisos que posea el usuario que lo ejecute.
Ejecutando ESET SysInspector : hay que aceptar el acuerdo de licencia…
• Interfaz principal:
El método de filtrado utilizado consiste en mostrar los procesos/datos asignando un color según su peligrosidad:
Verde: Aplicación conocida (fiable)
Naranja: Aplicación dudosa o con modificaciones en el archivo original (no por ello un virus)
Rojo: Vendría a ser un proceso no reconocido o peligroso (no por ello un virus).
En la ventana de la izquierda nos mostrará toda la información obtenida del sistema. Haremos un click sobre la descripción que queramos visualizar y en la ventana de la derecha podrás ver todo lo relacionado a ese proceso/archivo.
Arriba a la derecha tenemos un menú para administrar los log´s, filtrado por elementos, comparativas…
Para cualquier duda puedes consultar el archivo de “ayuda” incluido, accediendo al Menu/Ayuda (superior/derecha) o pulsando F1.
• Procesos en ejecución :
Todos los procesos que actualmente se ejecutan en tu Pc estarán aquí (algunos Rootkit pueden no aparecer…). Haremos un click sobre un proceso aleatorio o sospechoso y en la ventana de la derecha, abajo nos mostrará información sobre quien utiliza la aplicación, su PID (identificador de proceso), modo de ejecución (administrador, usuario…).
Haciendo doble click sobre el proceso, nos mostrará las dependencias del archivo (archivos de librerías utilizados y otros relacionados con él).
Es “muy importante” fijarse en los archivos que crean conexiones externas, como son: svchost.exe, lsaas.exe, al clickar sobre ellos, en la ventana de información nos mostrará las IP´s que utiliza en las conexiones y el estado (listen, established, etc). Estas IP´s tendrán que ser las normales de tu red (ejemplo: 192.168.1.XXX; 192.168.1.254).
Si utilizas maquinas virtuales se asignara una diferente (ejemplo: 10.02.0.10)
Sobre svchost.exe, hay que mencionar que puedes tener múltiples instancias en ejecución, pues cada uno sirve para una tarea diferente (actualizaciones, red…), pero nunca con diferente nombre, es decir "svcchost.exe", "svhost.exe" pues esto te indicaría la presencia de un “troyano” o similar.
0 comentarios:
Publicar un comentario
Por favor, trata de tener habilitado tu perfil de google
(has click en "Comenta con el antiguo editor" para iniciar sesión) o deja un enlace a tu blog escogiendo la opción "Nombre/URL", procura no dejar comentarios Anónimos.
Nota: Si es que se presenta algún problema con el formulario de comentarios, sólo has click en "Comenta con el antiguo editor"
✔ Gracias por participar en el blog.