Compartir a través de

  • Artículo

[Archivo de boletines ^] [< Volumen 7, Número 2] [Volumen 8, Número 2 >]

Boletín de aspectos internos de sistemas Volumen 8, Número 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 de marzo de 2006. En esta edición:

  1. INTRODUCCIÓN
  2. ACTUALIZACIONES DE HERRAMIENTAS
  3. ACTUALIZACIÓN DE LICENCIAS
  4. FORO DE SYSINTERNALS
  5. BLOG DE MARK
  6. ARTÍCULOS DE MARK
  7. PROGRAMACIÓN DE CONFERENCIAS DE MARK
  8. CLASES PRÁCTICAS SOBRE ASPECTOS INTERNOS Y SOLUCIÓN DE PROBLEMAS EN VIVO
  9. NUEVA BIBLIOTECA DE VÍDEOS DE SOLUCIÓN DE PROBLEMAS DE SYSINTERNALS

Winternals Software es el desarrollador líder y proveedor de herramientas de sistemas avanzados para Windows. Fue designada como "mejor empresa" de 2006 por Info Security Products Guide (consulte http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Además, Recovery Manager y Administrator's Pak ganaron el premio al Producto del año 2005 de SearchWinSystems.com. Recovery Manager fue galardonado con el oro en la categoría de Administración de escritorios, mientras que Administrator's Pak fue premiado con el galardón de plata en el grupo Administración de sistemas (http://searchwinsystems.techtarget.com/productsOfTheYear/0,294801,sid68_ayr2005,00.html)

Para obtener todos los detalles del producto, demostraciones multimedia, seminarios web o solicitar un CD de prueba de cualquiera de los productos, visite http://www.winternals.com

INTRODUCCIÓN

Hola a todos:

Bienvenido al boletín de Sysinternals. El boletín tiene actualmente 60 000 suscriptores.

En febrero, Sysinternals tuvo 1,26 millones de visitantes únicos y 20 millones de páginas vistas. Alexa.com lo ha clasificado como el sitio web número 6900 de Internet. (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Las herramientas más descargadas son:

  • Procexp: 375 000 descargas/mes
  • Autoruns: 120 000 descargas/mes
  • Rootkit Revealer: 120 000 descargas/mes
  • Filemon: 100 000 descargas/mes
  • Regmon: 90 000 descargas/mes
  • Tcpview: 63 000 descargas/mes

Filemon, Regmon, Process Explorer y Autoruns han sido elegidos como "lo mejor de lo mejor" por los participantes del grupo de noticias alt.comp.freeware (consulte http://www.pricelesswarehome.org/2006/about2006PL.php).

La vida se puso interesante el pasado noviembre, cuando publiqué mis hallazgos sobre el rootkit de Sony. Aparecí por primera vez en la televisión nacional y me entrevistaron en la radio, además de entrevistarme en decenas de entrevistas de prensa y publicar artículos en revistas y periódicos. Ahora la situación se ha calmado, así que he vuelto al trabajo para mejorar las herramientas de Sysinternals. A continuación encontrará un resumen completo de los cambios introducidos desde el último boletín.

También estoy muy entusiasmado con la nueva biblioteca de vídeos de Sysinternals, un conjunto de 6 DVD que cubren temas clave de solución de problemas de Windows con las herramientas de Sysinternals. Estarán disponibles en junio. Visite Sysinternals para ver un vídeo de previsualización y realizar una descarga gratuita de uno de los vídeos.

Por último, si asiste a una conferencia en la que voy a intervenir, no dude en pasarse a saludar. O bien, pase 5 días conmigo y con Dave Solomon en una de nuestras clases en directo de Solución avanzada de problemas y Windows Internals en Londres, San Francisco o Austin.

-Mark Russinovich

ACTUALIZACIONES DE HERRAMIENTAS

Desde el último boletín de agosto se han actualizado muchas herramientas. Como actualizo las herramientas con frecuencia, asegúrese de que está utilizando la última versión. La mejor manera de mantenerse al día con los cambios es suscribirse a mi fuente RSS en http://www.sysinternals.com/sysinternals.xml (y si aún no usa RSS para mantenerse al día con los sitios web, no dude en dar el paso).

A continuación se muestra una lista detallada de los cambios por herramienta:

Process Explorer v10.06

Esta importante actualización de Process Explorer incluye una extensa lista de nuevas características y mejoras destinadas a facilitar el uso y a buscar malware. Algunos ejemplos son Runas y el comando Ejecutar como usuario limitado, reinicio de procesos, conjuntos de columnas, información mejorada sobre procesos para procesos de hospedaje de servicios y Rundll32, columnas de desglose de conjuntos de trabajo y verificación de imágenes DLL y detección de imágenes empaquetadas.

RootkitRevealer v1.7

Esta nueva versión de RootkitRevealer incluye contramedidas de rootkit más sofisticadas, examen de todos los subárboles del Registro, incluidos los perfiles de usuario, ejecuciones desde sesiones de escritorio remoto de Windows XP, compatibilidad con volúmenes NTFS con tamaños de clúster mayores de 4 KB e incluye una serie de correcciones de errores y reduce el número de discrepancias de falsos positivos. Ni siquiera la versión antidetección de pago del rootkit Hacker Defender se oculta de esta versión.

RegDelNull v1.1

Utilice este nuevo applet para encontrar y eliminar claves del Registro que son "ineliminables" por las utilidades estándar de edición del Registro porque tienen caracteres nulos insertados en sus nombres. En respuesta al uso de este tipo de claves por parte del malware, RegDelNull puede ahora desbloquear y eliminar claves que no solo tienen valores null insertados, sino que también tienen permisos de seguridad que las hacen inaccesibles de otro modo.

SIGCHECK v1.3

Sigcheck, una potente herramienta de verificación de firmas e información de la versión de archivo de línea de comandos, incluye ahora una nueva marca que hace que solo muestre el número de versión de un archivo.

PsExec v1.7

Esta actualización de PsExec incluye un nuevo modificador -l para que las cuentas administrativas ejecuten procesos con privilegios de cuenta de usuario limitados. Para Internet Explorer de bajo privilegio anterior a IE 7 (en Vista), simplemente cree un acceso directo para iniciarlo utilizando este modificador.

Autoruns v8.42

Ahora Autoruns conoce aún más ubicaciones de inicio automático, incluido el valor del Registro de verificación de arranque Winlogon, los secuestros abiertos de Shell, los controladores en modo kernel, los archivos DLL del monitor de impresión y los controladores de columna de Explorer, todos ellos utilizados por malware real. También se ha agregado la verificación de firmas a petición para artículos individuales y se ha mejorado drásticamente el tiempo de examen cuando se selecciona la verificación de imágenes.

Autoruns ahora admite rutas de acceso de registro y sistema de archivos de longitud arbitraria, agrega una funcionalidad de búsqueda para buscar a través de elementos configurados y presenta una característica de comparación para comparar los inicios automáticos actuales con una versión guardada previamente para que pueda identificar fácilmente nuevas adiciones.

ProcFeatures v1.0

Este applet notifica el procesador y la compatibilidad de Windows con las extensiones de dirección física y la protección sin desbordamiento de búfer de ejecución.

DiskView v2.2

Diskview, una utilidad que le permite ver las asignaciones de clúster de un volumen, ahora muestra un resumen de los fragmentos de un archivo al hacer doble clic en cualquiera de los clústeres del archivo y el botón Mostrar siguiente navega al siguiente fragmento de un archivo seleccionado.

DebugView v4.5

DebugView es una herramienta de desarrollador que captura la salida de depuración del modo de usuario y kernel. Después de recibir muchas solicitudes de usuarios para esta característica, DebugView ahora ha añadido una opción para crear un nuevo archivo de registro y borrar la pantalla cada día.

AccessEnum v1.3

AccessEnum es una eficaz utilidad de seguridad que facilita la detección de archivos mal configurados y descriptores de seguridad del Registro. La versión 1.3 incluye correcciones de errores, creación de temáticas de Windows XP y un nuevo formato de archivo compatible con la importación de Excel.

Livekd v3.0

LiveKd, una utilidad que permite ver el sistema local como si fuera un volcado de memoria mediante los depuradores estándar del kernel de Microsoft, ahora admite versiones x64 de Windows e incluye algunas correcciones de errores menores.

Regmon v7.02

Esta actualización menor tiene mensajes de error más claros para cuando una cuenta no tiene los privilegios necesarios para ejecutar Regmon o Regmon ya se está ejecutando y consolida las versiones de 32 bits y 64 bits (x64) en un único binario.

ACTUALIZACIÓN DE LICENCIAS

A menudo nos preguntan cuáles son las reglas de nuestras herramientas de software gratuito. Hemos comenzado a colocar una ventana emergente del Acuerdo de licencia de usuario final que aparece la primera vez que ejecuta una herramienta; el texto dice lo siguiente:

"Puede usar el software publicado en este sitio web en casa o en el trabajo sin pagar una tarifa de licencia comercial siempre que haya descargado el software directamente de Sysinternals, use el software en equipos en los que sea el usuario principal, use el software en sistemas en los que no haya un usuario principal (por ejemplo, un servidor, incluido un servidor de terminal) y sea empleado a tiempo completo de la empresa propietaria del servidor, o use el software en un equipo del domicilio donde reside".

La página de licencias de software gratuito de Sysinternals en http://www.sysinternals.com/Licensing.html explica ahora los escenarios en los que se requiere una licencia comercial de pago para su uso.

FORO DE SYSINTERNALS

Visite uno de los 16 foros interactivos de Sysinternals (http://www.sysinternals.com/forum). Además de los foros dedicados a cada una de las principales herramientas, hay cuatro foros técnicos de Windows: Malware, Solución de problemas, Aspectos internos y Desarrollo.

Con más de 7352 miembros (casi 6000 más en 6 meses), hasta la fecha se han publicado 14 667 publicaciones en 4384 temas diferentes, lo que equivale a 2000 publicaciones al mes en los últimos 6 meses.

BLOG DE MARK

Mi blog recibió mucha atención con la publicación de mis hallazgos sobre el rootkit de Sony, pero también he publicado otras cosas no relacionadas con el tema de Sony. A continuación se muestra una lista de los artículos publicados desde el último boletín:

  • 6/2/2006 Uso de rootkits para derrotar a DRM
  • 18/1/2006 Dentro de WMF Backdoor
  • 15/1/2006 Rootkits en software comercial
  • 3/1/2006 La conspiración antispyware
  • 30/12/2005 Acuerdo con Sony
  • 12/12/2005 Eludir la directiva de grupo como usuario limitado
  • 30/11/2005 ¿Declaración de victoria prematura?
  • 16/11/2005 ¡Victoria!
  • 14/11/2005 Sony: No más rootkit (por ahora)
  • 9/11/2005 Sony: No quiere desinstalar, ¿verdad?
  • 6/11/2005 Rootkit de Sony: respuesta de First 4 Internet
  • 4/11/2005 Más sobre Sony: parche de desclasificación peligroso, EULA y Phoning Home
  • 31/10/2005 Sony, rootkits y la administración de derechos digitales han ido demasiado lejos
  • 19/10/2005 El privilegio de omitir la comprobación transversal (¿o es la notificación de cambios?)
  • 2/10/2005: Basura del registro: una realidad de Windows
  • 19/9/2005 Imágenes multiplataforma
  • 28/8/2005 El caso de los intermitentes (y molestos) cuelgues del explorador

Para obtener una lista completa de los artículos, consulte http://www.sysinternals.com/blog/blogindex.html

ARTÍCULOS DE MARK

Mi último artículo de Windows y IT Pro Magazine trataba sobre AccessEnum, que examina un volumen, subdirectorio o clave de Registro especificados para ayudarle a encontrar posibles puntos problemáticos en la configuración de seguridad.

Está disponible en línea para los suscriptores en http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

PROGRAMACIÓN DE CONFERENCIAS DE MARK

El pasado otoño intervine en la Conferencia de desarrolladores profesionales 2005 de Microsoft (que se celebró en septiembre en Los Ángeles), en Windows Connections (que se celebró en noviembre en San Francisco, CA) y en el Microsoft IT Forum (que se celebró en noviembre en Barcelona, España).

Mis próximas conferencias serán en Microsoft TechEd 2006, que se celebrará en Boston en junio. El 11 de junio presentaré, junto con Dave Solomon, un tutorial previo a la conferencia sobre limpieza avanzada de malware (http://www.msteched.com/content/precons.aspx). También impartiré cuatro sesiones sobre temas como los cambios en el kernel de Vista, la solución de problemas con Filemon y Regmon, el análisis de los bloqueos y cuelgues de Windows y las técnicas avanzadas de limpieza de malware.

Para obtener las actualizaciones más recientes, consulte http://www.sysinternals.com/Information/SpeakingSchedule.html

CLASES PRÁCTICAS SOBRE ASPECTOS INTERNOS Y SOLUCIÓN DE PROBLEMAS EN VIVO

Si le gusta Sysinternals, el libro Windows Internals, o quiere aprender más sobre los aspectos internos del sistema operativo Windows, incluido lo que está por venir en Vista, entonces querrá asistir a los únicos seminarios programados en los que tanto Dave Solomon como yo impartimos nuestro seminario práctico (traiga su propio portátil) de 5 días sobre Windows Internals y la solución avanzada de problemas. Las fechas de este año son:

  • Londres, 26-30 de junio de 2006
  • San Francisco, 18-22 de septiembre de 2006
  • Austin, TX, 11-15 de diciembre de 2006

En esta clase, obtendrá una descripción detallada de la arquitectura del kernel de Windows, incluidos los aspectos internos de los procesos, la programación de subprocesos, la administración de memoria, la E/S, los servicios, la seguridad, el registro y el proceso de arranque. También se tratan técnicas avanzadas de solución de problemas, como la desinfección de malware, el análisis de volcados de memoria (pantalla azul) y la superación de problemas de arranque.

También aprenderá sugerencias avanzadas sobre el uso de las herramientas clave de www.sysinternals.com (como Filemon, Regmon y Process Explorer) para solucionar problemas de sistema y aplicación, como equipos lentos, detección de virus, conflictos de DLL, problemas de permisos y problemas del registro. El soporte técnico del producto de Microsoft usa estas herramientas diariamente y se han usado de forma eficaz para resolver una amplia variedad de problemas de escritorio y servidor, por lo que estar familiarizado con su funcionamiento y aplicación le ayudará a tratar diferentes problemas en Windows. Se proporcionarán ejemplos reales que muestren una aplicación correcta de estas herramientas para resolver problemas reales. Y como el curso se ha desarrollado con pleno acceso al código fuente del núcleo de Windows Y a los desarrolladores, sabrá que está conociendo la realidad.

Si puede reunir a 20 personas o más, quizá le interese más una sesión privada en directo en su localidad (para más información, envíe un correo electrónico a seminars@...).

Para obtener más detalles y registrarse, visite
http://www.sysinternals.com/Troubleshooting.html

NUEVA BIBLIOTECA DE VÍDEOS DE SOLUCIÓN DE PROBLEMAS DE SYSINTERNALS

Dave Solomon y yo grabamos recientemente una nueva serie de vídeos que se llamará "Biblioteca de solución de problemas de Sysinternals". Se trata de un conjunto de 6 DVD que cubren aspectos internos esenciales de Windows y temas avanzados de solución de problemas, con las herramientas de Sysinternals. Los títulos de los discos son:

  • Disco 1: Recorrido por las herramientas de Sysinternals
  • Disco 2: Solución de problemas con Process Explorer
  • Disco 3: Solución de problemas con Filemon y Regmon
  • Disco 4: Solución de problemas de memoria
  • Disco 5: Análisis de colgado y volcado de memoria
  • Disco 6: Solución de problemas de arranque e inicio

Esperamos tener algún contenido de vídeo de muestra disponible para su descarga este mes. Los discos deben enviarse en junio. Tendremos un precio con descuento cuando abramos los pedidos por adelantado, esperemos que en mayo. Cuando estén disponibles los pedidos por adelantado, enviaremos un aviso a esta lista de interés.

Gracias por leer el Boletín de Sysinternals.

Publicado el martes, 2 de mayo de 2006 a las 4:29 p. m. por ottoh

[Archivo de boletines ^] [< Volumen 7, Número 2] [Volumen 8, Número 2 >]