El Administrador de Tareas me miente I – III

El Administrador de Tareas me miente II – III

El Administrador de Tareas me miente III – III

Tras ver el webcast de Juan Garrido, pensé en por que no compartir esta técnica tan curiosa:

No siempre nos podemos fiar de lo que el Task Manager de Windows nos dice, ya que si por ejemplo vamos a XP y lo arrancamos vemos un par de procesos bastante interesantes, hablo de services.exe, csrss.exe o winlogon.exe, si intentamos matar alguno de estos procesos que son de SYSTEM nos dice un rotundo NO:

Intentando matar el proceso winlogon.exe

Esto no seria un problema sí verificase que usuario esta ejecutando el proceso, a cambio de eso verifica unicamente como se llama la aplicación, en resumen, si nosotros lanzamos una consola con el nombre de winlogon.exe:

CMD renombrada a Winlogon.exe

Observamos como efectivamente esta lanzada por nuestro usuario y solo por llamarse winlogon.exe es imposible poder matar la tarea con el propio task Manager de windows:

Un saludo!

Anuncios

»

  1. jorge dice:

    Es bastante sencillo y tu lo sabes, winlogon es el proceso que permite a un usuario estar auntenticado e iniciar el sistema, es por eso que no se puede acabar con el proceso.

  2. agux dice:

    Creo recordar que éste nos lo enseñó Juanito en el FTSAI V. Muy bueno. De todas formas, tengo que echarle un vistazo a sus webcasts. Sobretodo, el de Sysinternals tenía que estar muy, muy interesante.

    • magisteike dice:

      En efecto, esta serie de entradas son un eco del webcast de Juanito “Analisis de malware con Sysinternals”, es un recomendable webcast =)
      Yo no fui al FTSAI V una pena =(

      Un saludo Agux!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s