5 de enero de 2005: en este problema:

  1. EDITORIAL

    • ¿Tiene DEP?
  2. WINDOWS INTERNALS, CUARTA EDICIÓN

  3. NOVEDADES DE SYSINTERNALS

    • Estadísticas de noviembre
    • Artículos de Sysinternals Magazine
    • Fuente RSS de Sysinternals
    • Mark es un Microsoft MVP
    • Seruns automáticamente v6.01
    • Explorador de procesos v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump v1.0
    • Hex2dec v1.0
    • Tcpvcon v2.34
    • Actualizaciones de PsTools
    • Sysinternals en Microsoft
  4. INFORMACIÓN INTERNA

    • Exploración de Internet
    • Uso de LiveKd para solucionar problemas de sistemas con problemas
    • ¿Creekside?
    • ChkReg Registry Fixer
    • Diagnóstico de memoria de Windows
    • Investigación de interfaces no documentadas
  5. ENTRENAMIENTO INTERNO

    • Windows en San Francisco
    • Clases prácticas Windows internals/sysinternals de Mark Russinvl & David David

El Boletín de Sysinternals está patrocinioado por El software Dennals, en la web en http://www.winternals.com . Winternals Software es el desarrollador y proveedor líder de herramientas de sistemas avanzados para Windows NT/2000/XP/2003.

Le complace anunciar la próxima versión de Administrator's Pak 5.0 con una actualización completa que incluye ERD Commander 2005.

Las nuevas características de ERD Commander 2005 incluyen:

  • Analizador de bloqueo: diagnosticar de forma rápida y sencilla el controlador responsable de un bloqueo Windows, incluso si el sistema no arranca
  • DiskWipe: borrar discos duros o volúmenes de forma segura; Autoruns(Autoruns): vea qué aplicaciones se inician en Windows configuración y el inicio de sesión de usuario, lo que resulta útil para diagnosticar problemas de recursos del sistema y encontrar malware potencial.
  • FireFox Web Browser: descargue revisiones, actualizaciones de controladores, busque ayuda en el Microsoft Knowledge Base, todo en el sistema que está intentando reparar.
  • Asistente para desinstalación de revisiones, que permite quitar revisiones y Service Pack en un sistema que no se puede instalar
  • Reparación de archivos del sistema, que comprueba la integridad Windows archivos del sistema.

Estas características, numerosas mejoras y facilidad de uso de ERD Commander 2005 y un nuevo cliente de recuperación remota más fácil de compilar y usar basado en Windows PE se incluyen en el nuevo Paquete 5.0 del administrador, disponible a finales de enero de 2005. Para registrarse para obtener una evaluación de la versión 5.0 del administrador cuando se lanza, visite http://www.winternals.com/ap5preview/.

EDITORIAL

Hola a todos:

Le damos la bienvenida al boletín sysinternals. El boletín tiene actualmente 40 000 suscriptores.

La creciente ola de malware, incluido el spyware y los virus, preocupa a todos los usuarios por la seguridad. Entre las medidas de seguridad adecuadas se incluyen mantenerse al día con las revisiones del sistema operativo y de las aplicaciones, instalar y configurar herramientas de eliminación de firewall, antivirus y spyware, y ejercer criterio al descargar desde Internet o abrir datos adjuntos por correo electrónico. Sin embargo, a pesar de las medidas exhaustivas, el malware todavía puede encontrar maneras de escaparse por las defensas e infeccionar un equipo. El bucle más común en las defensas de un sistema es la vulnerabilidad de desbordamiento de búfer y por eso debe estar familiarizado con la característica prevención de ejecución de datos (DEP) de Windows XP Service Pack 2.

Un desbordamiento de búfer es un error de programación que los programas malintencionados pueden aprovechar para tomar el control del subproceso que ejecuta el error de codificación. Normalmente, los desbordamientos de búfer se basan en la pila, lo que significa que un atacante proporciona al programa más datos de los que caben en un búfer almacenado en la pila. Los datos se elaboran de tal manera que cuando la función con el desbordamiento intenta volver a la función desde la que se invocó, en su lugar vuelve a una ubicación de los datos.

Desafortunadamente, los errores de desbordamiento de búfer pueden llegar incluso al software mejor probado y revisado. Se anuncian varios desbordamientos de búfer para Windows y su software de componentes mensualmente (Linux y sus aplicaciones no son inocuos, con un número de desbordamiento de búfer a la vez que Windows). Un tema común para la mayoría de las vulnerabilidades de desbordamiento de búfer es que tienen como resultado la ejecución del código colocado en regiones de memoria que solo deben contener datos.

Aunque el procesador Intel Itanium ha admitido la protección de no ejecución desde su versión, no fue hasta Windows XP SP2 (y el próximo Windows Server 2003 SP1) que Windows realmente usa esta compatibilidad con hardware, por ejemplo, marcando las pilas de subprocesos y la memoria del montón como no ejecutables. Otros procesadores que admiten la protección de hardware sin ejecución incluyen los procesadores AMD64 Opteron y Athlon 64 de 64 bits y el clon de Intel denominado EM64T-now disponible en procesadores Xeon y Pentium 4. AMD e Intel presentaron recientemente procesadores de 32 bits sin compatibilidad con ejecución: amd sempron y la familia "J" Pentium 4 (como 520J, 540J, etc.).

Puede parecer obvio que Windows debe aplicar de forma predeterminada la protección de no ejecución para las pilas y la memoria del montón de aplicaciones para evitar vulnerabilidades de desbordamiento del búfer, pero hay cientos de miles de aplicaciones existentes, algunas de las cuales podrían basarse realmente en que la configuración no se aplica para un funcionamiento correcto. Por lo tanto, Windows XP SP2, la primera versión de Windows que aplica la protección sin ejecución, proporciona a un administrador control sobre qué procesos se protegen y cuáles no. En primer lugar, en una decisión destinada a mejorar la seguridad en el futuro, la versión de 64 bits de Windows siempre aplica marcas de no ejecución para todos los procesos de 64 bits. Si un proveedor de software quiere lanzar una aplicación de 64 bits, debe asegurarse de que no ejecuta código desde regiones de memoria no ejecutables (puede marcar una región de datos como ejecutable si genera código sobre la marcha, como suelen hacer las aplicaciones Java y .NET).

En segundo lugar, dado que las vulnerabilidades de desbordamiento de búfer se dirigen normalmente a los componentes del sistema operativo, las imágenes de sistema operativo principales de 32 bits Windows XP y Windows Server 2003 protegen de forma predeterminada las imágenes principales del sistema operativo. Sin embargo, para las aplicaciones de 32 bits (que se ejecutan en Windows de 32 bits o en Windows de 64 bits), Windows XP tiene como valor predeterminado una estrategia de "participar" (las aplicaciones no están protegidas de forma predeterminada), mientras que Windows Server 2003 tiene como valor predeterminado "no participar" (las aplicaciones están protegidas de forma predeterminada, pero se pueden excluir aplicaciones específicas). Esto tiene sentido porque la seguridad suele ser de mayor prioridad en los sistemas de servidor. Puede cambiar la configuración de no participar o no en el cuadro de diálogo configuración de DEP al que tiene acceso a través del botón Configuración de la sección Rendimiento de la página Opciones avanzadas del applet del panel de control del sistema.

Como mencioné anteriormente, a excepción de los procesadores AMD Sempron y Pentium 4 "J" relativamente nuevos, todos los chips compatibles con x86 publicados hasta la fecha no tienen compatibilidad con la ejecución. Sin embargo, Windows XP y Windows Server 2003 implementan una forma limitada de DEP en esos procesadores denominados "SOFTWARE DEP". Dado que el sistema operativo obtiene el control de un subproceso cuando el subproceso genera un error, puede asegurarse de que el controlador de errores que va a ejecutar sea el registrado estáticamente por el código del programa. Esto evita una vulnerabilidad de seguridad que redirige el controlador de errores de un subproceso para ejecutar código malintencionado en un búfer de pila desbordado, que es lo que el virus CodeRed hizo que IIS realizara cuando se publicó en 2001.

A pesar de su simplicidad relativa, DEP es una de las defensas más sólidas que ofrece el sistema operativo en su escudo contra el malware que se propaga por sí mismo. Lamentablemente, tres cosas limitan su capacidad: la falta de compatibilidad con hardware en la mayoría de los procesadores implementados actualmente para la configuración de no ejecución, la configuración de participación predeterminada en Windows XP, de modo que solo se protegen los procesos principales del sistema operativo y la falta de conocimiento. El DEP de software está limitado en su ámbito y, por tanto, DEP solo es marginalmente eficaz a menos que ejecute Windows en hardware que no admita ninguna ejecución. El hecho de que Windows XP opte de forma predeterminada significa que incluso cuando los usuarios ejecutan Windows en hardware sin ejecutar, los únicos procesos que obtienen protección de DEP son los del sistema operativo; si hay un desbordamiento de búfer en el firewall de terceros, el explorador web, el lector de correo electrónico u otra aplicación habilitada para la red, sigue siendo vulnerable. De hecho, algunas de las aplicaciones más aprovechadas por malware, IIS y Outlook, no están protegidas bajo la configuración de opt-in. Por último, dado que la mayoría de las personas no conocen su comportamiento predeterminado, o incluso DEP en absoluto, los sistemas seguirán en riesgo en su mayor parte por problemas de desbordamiento de búfer.

Es el momento en que Microsoft hace que los usuarios paguen el precio de compatibilidad a cambio de una mayor seguridad o los usuarios terminarán pagando un precio mucho más alto de la mano de virus y, a su vez, pasarán la factura a Microsoft. Mientras tanto, le recomiendo encarecidamente que actualice a Windows XP SP2 (Windows XP 64-bit Edition y Windows Server 2003 SP1 también tengan compatibilidad para no ejecutar), cambie a opt-in y actualice a un procesador con compatibilidad sin ejecución (lamentablemente, no voy a obtener una comisión).

Pase el boletín a los amigos que cree que podrían estar interesados en su contenido.

Gracias

-Mark

WINDOWS INTERNALS, CUARTA EDICIÓN

El libro oficial de Microsoft sobre los recursos internos de Windows Server 2003, Windows 2000 y Windows XP, que coautoré con Dave Vmm, ya está disponible en las tiendas de libros. David y yo ampliamos la cobertura de la edición anterior en aproximadamente un 25 %, agregando nuevo material no solo en los cambios de Windows Server 2003 y XP, sino también en las herramientas y técnicas de solución de problemas. Encontrará sugerencias avanzadas sobre el uso del Explorador de procesos, Filemon y Regmon, y hay un nuevo capítulo completo sobre cómo Windows de volcado de memoria.

Obtenga más información sobre el contenido y el pedido en línea del libro en

http://www.sysinternals.com/windowsinternals.shtml

NOVEDADES DE SYSINTERNALS

FUENTE RSS SYSINTERNALS

He recibido la solicitud de agregar un nuevo mecanismo de notificación de publicación a Sysinternals con tanta frecuencia que finalmente he seguido la tendencia en toda la web y he agregado una fuente RSS (si no está familiarizado con las fuentes RSS, esta es una buena introducción: http://rss.softwaregarden.com/aboutrss.html). La fuente también me ofrece la oportunidad de notificarle correcciones de errores y actualizaciones menores que no garantizan una lista completa en la página principal. Ya parece la manera preferida para que los usuarios conozcan las actualizaciones en función del número de visitas que recibe la fuente al día.

Acceda a la fuente RSS sysinternals en:

http://www.sysinternals.com/sysinternals.xml

ARTÍCULOS DE SYSINTERNALS MAGAZINE

Hace unos seis meses comempezó a crear una columna semestre en Windows IT Pro Magazine (anteriormente Windows y .NET Magazine) en herramientas de Sysinternals. Cada columna describe una herramienta diferente, que proporciona sugerencias sobre el uso avanzado y la información sobre cómo funcionan.

De los tres que se han publicado, enumerados a continuación, los dos primeros son accesibles en línea por usuarios que no son suscriptores y el tercero será pronto:

Autoruns: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist y Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK ES MVP DE MICROSOFT

El responsable de Professional MVP (MVP) del SDK de plataforma me ha llamado MVP para 2005. Estoy satisfecho con él y Microsoft por este reconocimiento oficial de las contribuciones que he realizado a los clientes de Microsoft con Sysinternals.

ESTADÍSTICAS DE NOVIEMBRE

Por último, he recibido un programa de análisis de tráfico web aceptable para Sysinternals y he analizado los archivos de registro del mes de noviembre. La magnitud de los números es igual a mí. Estos son algunos aspectos destacables:

  • 3,6 millones de vistas de página
  • 775 000 visitantes únicos
  • 1,2 millones de descargas de utilidad
  • 200 000 descargas del Explorador de procesos, la descarga n.º 1

AUTORUNS V6.01

Las repeticiones automáticas han evolucionado mucho en los últimos meses con dos actualizaciones principales del número de versión. La versión más reciente de Autoruns muestra ubicaciones de inicio automático además de las carpetas estándar Ejecutar clave y inicio, incluidos los archivos DLL de notificación de Winlogon, las barras de herramientas del Explorador, las extensiones de espacio de nombres y los objetos auxiliares del explorador y los archivos DLL de inicialización automática. Otra característica nueva, el elemento de menú de Google (tomado del Explorador de procesos) le ayuda a identificar imágenes desconocidas al abrir un explorador e iniciar una búsqueda del nombre de la imagen seleccionada.

Otra característica nueva, la comprobación de la firma de imágenes, puede ayudarle a distinguir entre malware y componentes del sistema o aplicaciones de confianza. Microsoft generalmente incluye hashes de archivos de sistema operativo firmados con la clave de firma privada de Microsoft. Windows funciones criptográficas descifran los hashes firmados con la clave de firma pública de Microsoft y Autoruns valida las imágenes en el sistema comparando sus hashes con las versiones descifradas, antecediendo el nombre de la compañía de la imagen con "(Verified)" cuando hay una coincidencia. Si una imagen se ha alterado, dañado, reemplazado o tiene un hash firmado por un publicador que no es de confianza para el sistema, Autoruns notifica el nombre de la empresa para la imagen como "(No comprobado)".

Como administrador de sistemas, es posible que quiera comprobar las imágenes de inicio automático en cuentas que no son las que ha iniciado sesión, por lo que Autoruns ahora incluye un menú Usuario con selecciones para cada cuenta que tenga un perfil almacenado en el equipo.

Por último, ahora hay un equivalente de línea de comandos de la GUI autoruns, denominado Autorunsc, que enumera la información de las repeticiones automáticas en la consola. Su capacidad para dar formato a la salida como CSV, cuando se combina con la utilidad PsExec de Sysinternals, facilita la generación de inventarios de las imágenes de inicio automático configuradas para equipos de toda la red.

Descargue Autoruns en
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

EXPLORADOR DE PROCESOS V8.61

Una vez más, el Explorador de procesos, una herramienta que reemplaza Administrador de tareas como una utilidad avanzada de administración de procesos, ha sido la herramienta en la que más me he centrado, y eso se debe a que tengo tantos comentarios sobre ella. Desde el último boletín, el Explorador de procesos ha pasado de la versión 8.4 a la 8.6. Una gran cantidad de nuevas características marca estas dos versiones, incluido un elemento de menú de Google que inicia una búsqueda de información sobre un proceso seleccionado, una pestaña cadenas en el cuadro de diálogo de propiedades del proceso que muestra las cadenas ASCII y Unicode presentes en un archivo de imagen de proceso, una entrada de menú de cadenas que muestra las cadenas de un archivo de imagen DLL seleccionado. y el nombre del proceso que más CPU consume en la información sobre herramientas que se muestra al mantener el mouse sobre el icono de la bandeja del Explorador de procesos.

Muchas personas solicitaron características que faltaban al cambiar de Administrador de tareas, como la pestaña Administrador de tareas Aplicaciones. La pestaña Aplicaciones muestra una lista de ventanas de nivel superior en el escritorio interactivo junto con el estado del subproceso que posee cada ventana: "En ejecución" si el subproceso está esperando recibir un mensaje de Windows o ha procesado un mensaje de Windows en los últimos cinco segundos y "no responde" de lo contrario (irónicamente, esto suele significar que "en ejecución" indica que el subproceso está esperando y "no responde" que está en ejecución). Ahora puede obtener esta misma información con el Explorador de procesos agregando las columnas "Título de ventana" y "Estado de la ventana" a la vista de proceso.

El Explorador de procesos ha tenido características dirigidas a at.NET durante un tiempo, incluido el resaltado de procesos de .NET y una pestaña Rendimiento de .NET en el cuadro de diálogo de propiedades del proceso de procesos .NET. Un proceso de .NET es aquel que se ha cargado y registrado con el entorno de ejecución de .NET. Si un proceso se registra en algún momento después de que se inicie el Explorador de procesos, es posible que no se dé cuenta de que se trata de un proceso de .NET, pero la versión más reciente vuelve a comprobar los procesos para el estado de .NET y la pertenencia a objetos de trabajo al actualizar manualmente la pantalla, ya sea presionando el botón actualizar de la barra de herramientas, la tecla F5 o seleccionando el elemento de menú Actualizar.

En situaciones en las que no está seguro de qué proceso posee una ventana, puede usar el nuevo botón de la barra de herramientas del buscador de ventanas para identificarlo. Basta con arrastrar el botón de la barra de herramientas, que parece un destino, fuera de la barra de herramientas y sobre la ventana en cuestión y el Explorador de procesos selecciona el proceso propietario en la vista de proceso.

Una adición que le será obvia inmediatamente es el gráfico de mini CPU que se muestra cerca de la barra de herramientas. Este gráfico muestra el historial de uso de CPU del sistema y, al igual que la versión expandida que obtiene al hacer clic en él para abrir el cuadro de diálogo Explorador de procesos Información del sistema, presenta una información sobre herramientas que incluye la marca de tiempo y el proceso de consumo de CPU más alto para el punto del gráfico sobre el que mueve el mouse. Puede mover el gráfico a cualquier lugar del área de la barra de herramientas, incluso a su única fila para que se ajuste a lo largo del ancho de la ventana Explorador de procesos.

Dos características relacionadas con la seguridad son la comprobación de la firma de imágenes y el estado de protección de ejecución de datos (DEP). Al habilitar la opción de firma de imágenes, el Explorador de procesos comprobará si un firmante de confianza ha firmado digitalmente una imagen de proceso y, al igual que las repeticiones automáticas, antefije el nombre de la empresa en el cuadro de diálogo de propiedades del proceso con "Comprobado" o "No comprobado". La opción está deshabilitada de forma predeterminada porque la comprobación de firma de imágenes puede tardar varios segundos, ya que la comprobación va a sitios web para comprobar la validez de la firma de certificados.

DEP, que describo en la introducción de este boletín, es algo que debe habilitar en Windows XP SP2 para mejorar la protección contra vulnerabilidades de desbordamiento de búfer. Puede comprobar el estado de DEP de un proceso agregando la columna "Estado de DEP" a la vista de proceso o comprobando el campo "Estado de DEP" en la página de imagen del cuadro de diálogo de propiedades del proceso.

Por último, el Explorador de procesos ahora enumera los controladores cargados en el sistema en la vista DLL del proceso del sistema, que es el proceso asociado a los subprocesos de trabajo del kernel y del controlador de dispositivo. La misma información está disponible para cada controlador que para los archivos DLL enumerados para otros procesos, incluida la versión, el nombre de la empresa, la ruta de acceso completa y la dirección de carga en el espacio de direcciones del sistema.

Descargue el Explorador de procesos en
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

Muchas de las herramientas de Sysinternals adoptan características que ayudan a los usuarios a identificar malware y Sigcheck es una utilidad de línea de comandos centrada casi exclusivamente en ese objetivo. Usa la misma funcionalidad de comprobación de firma de imágenes incluida en Autoruns y el Explorador de procesos para saber si un archivo ha sido firmado digitalmente por un publicador de confianza. Además, notifica la información de la versión del archivo para la imagen o las imágenes que especifique, incluidos el nombre del producto, la descripción, el nombre de la empresa y la versión. Esta información es similar a la que la herramienta Filever que se incluye con los informes de Windows XP y Windows Server 2003, pero Sigcheck también notifica la marca de tiempo cuando el archivo se "vinculó" originalmente o se creó para imágenes sin firmar, y la marca de tiempo de la firma de la imagen para las que firmaron. Por último, la mayoría de los hashes firmados se firman con claves que se han firmado, una secuencia que forma lo que se denomina cadena de firma de certificados. Sigcheck admite una opción de línea de comandos que le dirige a imprimir la cadena de firma con información sobre cada uno de los firmantes de la cadena.

Uno de los posibles usos relacionados con la seguridad de Sigcheck es investigar cualquier imagen .exe .dll o .sys sin signo en cualquiera de los directorios bajo la raíz de la instalación de Windows (normalmente \Windows). Puede identificar fácilmente las imágenes de .exe sin signo mediante la ejecución de Sigcheck con esta línea de comandos, por ejemplo:

sigcheck -s -u c:\windows\*.exe

Todas las imágenes de Microsoft deben incluir firmas válidas, pero el comando anterior revelará lamentablemente que muchas no, lo que da lugar a archivos que se pueden aprovechar potencialmente para ocultar malware.

Descargue Sigcheck en
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

Esta actualización secundaria a Bginfo, una herramienta que muestra la información que se configura en el escritorio del equipo en el que se ejecuta para facilitar la visualización, ofrece una mejor compatibilidad con mapas de bits que debe ajustar para ajustarse al tamaño especificado, mejoras de detección de CPU, compatibilidad con MySQL y compatibilidad mejorada con la visualización de varios monitores.

Descargue Bginfo en
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

Si alguna vez ha deseado crear accesos directos del Explorador a claves específicas del Registro o simplemente escribir la ruta de acceso de una clave y tener Regedit abierto en la ubicación de destino, encontrará Regjump útil. Regjump es una utilidad de línea de comandos que usa la misma tecnología de "salto a" del Registro que se edima en Regmon. Dé a Regjump una ruta de acceso del Registro como argumento de la línea de comandos y Regedit se abrirá y navegará hasta la clave o el valor especificados.

Descargue Regjump en
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC V1.0

Trabajar con depuradores y desensamblado a menudo me encuentro teniendo que convertir hexadecimal a decimal y viceversa. Finalmente me cansé de abrir Calc, escribir un número y, a continuación, cambiar la base para ver la conversión y, por tanto, he escrito una pequeña utilidad de conversión de línea de comandos. Hex2dec convierte en cualquier dirección e identifica cómodamente la entrada como hexadecimal si tiene un prefijo "0x" o "x" o incluye las letras "a"-'f" (no tiene en cuenta las mayúsculas y minúsculas).

Descargue Hex2dec en
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

Netstat es una utilidad de línea de comandos integrada en Windows NT y posteriores que muestra los puntos de conexión TCP y UDP actualmente activos en el sistema. La versión que Microsoft introdujo con Windows XP incluye una información útil: el identificador de proceso (PID) del proceso que abrió cada punto de conexión. Sin embargo, para determinar el nombre del proceso o cualquier otra información sobre él, tiene que abrir una herramienta de lista de procesos y buscar el proceso con ese PID.

TCPView es una aplicación de GUI de Sysinternals que muestra la misma información de punto de conexión activo, pero mucho más cómoda que Netstat, ya que incluye el nombre del proceso, cambia rápidamente entre nombres DNS y direcciones IP sin procesar, y resalta con colores los puntos de conexión nuevos y eliminados. La descarga de TCPView ahora incluye TCPVCon, una versión de consola de TCPView, para aquellos usuarios que les gusta usar interfaces de línea de comandos. A diferencia de Netstat, TCPVCon muestra la ruta de acceso completa del proceso asociado a cada punto de conexión e incluye un modificador que vuelca la salida en formato CSV.

Descargue Tcpvcon en
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

ACTUALIZACIONES DE PSTOOLS

PsKill y PsLoglist son las dos PsTools que han obtenido mejoras en los últimos meses. PsKill, una utilidad de línea de comandos que finaliza los procesos en el sistema local o remoto, ahora admite un modificador para que pueda finalizar un árbol de procesos -t completo. Varias personas solicitaron esta opción para facilitar la limpieza de árboles desboados de scripts por lotes.

PsLoglist es una herramienta de línea de comandos que vuelca los registros de eventos en sistemas locales o remotos. Las actualizaciones recientes han agregado 5 opciones a su ya larga lista de calificadores de línea de comandos. Los nuevos argumentos permiten excluir los tipos de eventos o orígenes de eventos especificados de la salida o solo los eventos de volcado de los últimos minutos u horas. Ahora también admite un modo de supervisión del registro de eventos en el que se ejecuta hasta que lo finaliza, lo que imprime los registros de eventos a medida que se generan.

Descargue PsTools, incluidos PsKill y PsLoglist, en
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Esta es la última instalación de referencias de Sysinternals en Microsoft Knowledge Base (KB) publicados desde el último boletín. Esto eleva a 63 el número total de referencias de KB públicas a Sysinternals.

  • CORRECCIÓN: Reproductor de Windows Media serie 9 para Windows accede con frecuencia al registro y puede afectar al rendimientohttp://support.microsoft.com/?kbid=886423

  • GDI+ introducción a la actualización de seguridad de GDI+ 1.0http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • Edición http://support.microsoft.com/default.aspx?scid=kb del Registro ;en-gb;835818

  • Recibirá un mensaje de error "No hay información que mostrar en esta vista" al intentar acceder a una vista de Project http://support.microsoft.com/default.aspx?scid=kb ;en-us;810596

INFORMACIÓN INTERNA

EXPLORACIÓN DE INTERNET

Hace aproximadamente un año anunció que había cambiado de IE a Mozilla porque no tenía las características que se consideran obligatorias para un explorador de Internet aceptable, como el bloqueo de elementos emergentes, la exploración con pestañas, el relleno automático de formularios y el filtrado de anuncios. Poco después, alguien me apuntó a Browser, una pequeña descarga que usa IE (no es su propio explorador) para darle todo eso y mucho más. La interfaz de usuario desordenada de Mozilla y la falta de compatibilidad con determinados sitios he tomado la decisión de cambiar fácilmente. Aunque la nueva versión de FireFox es mejor en ambos aspectos, todavía hay algunos sitios incompatibles (como Windows Update, por ejemplo) y, por tanto, no me he visto obligado a cambiar de nuevo.

La lentitud del progreso de Microsoft al mejorar IE, incluso a la luz de las discretas mejoras de Windows XP SP2 de IE, debe insaprotegrlos para que compren Browser y lo conste en la siguiente versión de IE.

Descargue Browser de Browser en: http://www.avantbrowser.com

USO DE LIVEKD PARA SOLUCIONAR PROBLEMAS DE SISTEMAS DE SALUD

LiveKd es una utilidad que he escrito para la tercera edición de Inside Windows 2000 (ahora es una herramienta de herramientas en Sysinternals). Permite usar Windbg o Kd del paquete Herramientas de depuración de Microsoft para Windows para ejecutar comandos de depuración que se usan normalmente para investigar volcados de memoria y sistemas inmovilizados en un sistema en línea y activo. Microsoft introdujo una funcionalidad similar, denominada "depuración de kernel local", para las herramientas de depuración cuando se ejecuta en Windows XP y versiones posteriores. Sin embargo, hay varias cosas que puede hacer con LiveKd que no se pueden realizar con la depuración del kernel local. Por ejemplo, no puede ver las pilas de subprocesos en modo kernel con depuración de kernel local y el comando list-kernel modules, , enumera solo el kernel del sistema operativo y no los otros controladores de carga cuando se ejecutan en la depuración lm k del kernel local. Ambos comandos funcionan dentro de LiveKd.

Otro comando que no funciona en la depuración del kernel local, pero que sí funciona en LiveKd, es .dump . He aprendido de un ingeniero de Servicios de soporte técnico de Microsoft (PSS) que el comando puede ser útil para solucionar .dump problemas de un sistema de salud. Un equipo que está experimentando problemas, pero que ofrece servicios como la web o la base de datos, puede no ser un candidato para el reinicio o la depuración tradicional en la que el sistema está en pausa durante la investigación. La ejecución de LiveKd y la ejecución de .dump da como resultado un archivo con formato de volcado de memoria que contiene el contenido de la memoria física del sistema. Puede llevar el archivo de volcado a otra máquina y analizar el estado del sistema operativo y las aplicaciones de servicio cargando el archivo de volcado en WinDbg o Kd, con lo que se evita una interrupción mientras se busca la causa de un problema.

Descargue LiveKd en
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

¿CREEKSIDE?

Recientemente estaba investigando la inicialización de la versión Windows XP Service Pack 2 de Winlogon, el proceso del sistema responsable de presentar la interfaz de usuario de inicio de sesión, cuando vi código en el desensamblado en el que Winlogon comprueba la presencia de un archivo DLL denominado ediskeer.dll en el directorio, garantiza que está firmado digitalmente por un firmante de confianza, si \Windows\System32 existe, y, a continuación, lo carga y llama a una función sin nombre exportada por el archivo DLL. El código winlogon que se ejecuta cuando alguien inicia sesión en el sistema también llama al archivo DLL si se cargó durante la inicialización.

Busqué el archivo DLL en mi sistema y no lo encuentro, y tampoco está presente en el CD de Service Pack 2. ¿Qué es el archivo DLL? Con los símbolos de depuración que Microsoft envía para el sistema operativo, podría ver que Winlogon configuraba una variable denominada "Side" si ediskeer.dll estaba presente y firmado y, después, me di cuenta de que "edikeer" consta de las últimas 8 letras de "side" en orden inverso. Todavía no estoy seguro de a qué se refiere Elside, pero sospecho que el archivo DLL solo se distribuye con Windows XP Starter Edition, la versión de bajo costo de Windows XP que Microsoft introdujo recientemente para los países en desarrollo. Starter Edition se basa en el mismo núcleo de sistema operativo que las ediciones Windows XP Professional y Home, pero impone límites en el número de aplicaciones que un usuario puede tener en ejecución simultáneamente. Si tengo razón, Winlogon carga el archivo DLL para aplicar ese límite y lo activa cada vez que un nuevo usuario inicia sesión.

CORRECCIÓN DEL REGISTRO CHKREG

A lo largo de los años, Tanto Yo como yo hemos recibido numerosas solicitudes de una analogía del Registro para Chkdsk, la utilidad de comprobación de coherencia del sistema de archivos. Nunca hemos escrito una porque creemos que la audiencia de uno es demasiado pequeña para justificar el esfuerzo. Hace aproximadamente un año, Microsoft publicó el conocido Chkreg, un chkdsk para el Registro que corrige muchos tipos de daños en el Registro.

Desafortunadamente, Chkreg solo se admite en Windows 2000 (también puede funcionar en registros Windows NT 4 y Windows XP) y se implementa como una aplicación "nativa" que usa la API nativa en lugar de la API de Windows, por lo que no se ejecutará en Windows. Al descargarlo, tendrá que instalarlo en un conjunto de seis Windows de arranque de instalación, un movimiento tedioso y lento. Nos hemos comunicado con los desarrolladores de Chkreg y les hemos animado a publicar públicamente la versión de Windows que hemos aprendido que los Servicios de soporte técnico de Microsoft (PSS) usan de forma interno, pero no tenemos ninguna palabra sobre cuándo o si lo van a publicar.

Puede descargar Chkreg en
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C&displaylang=en

DIAGNÓSTICO DE MEMORIA DE WINDOWS

Una de las experiencias más frustrantes para Windows usuario es un sistema de bloqueo. En la mayoría de los casos, el error es un controlador de dispositivo de terceros con errores, que puede solucionar si deshabilita el controlador o actualiza a una versión con una corrección. Aproximadamente el 10 % de los bloqueos notificados a Microsoft Online Crash Analysis (OCA) se debe a problemas de hardware, la mayoría de los cuales están relacionados con el disco y la memoria.

Si se produce un bloqueo que OCA no puede diagnosticar o sospecha que hay un problema de memoria, debe pasar unos minutos con El diagnóstico de memoria (WMD) de Microsoft Windows, una herramienta de comprobación de memoria que Microsoft ha publicado recientemente. El instalador de WMD solicita un disquete o CD en el que guarda el programa WMD. Al arrancar una máquina desde el disquete o cd que creó WMD se ejecuta y realiza una prueba exhaustiva de la memoria del equipo, informando de su progreso y de los problemas en la pantalla. Si tiene errores de memoria, WMD puede ahorrarle la frustración infinita de Windows bloqueos.

Puede descargar el diagnóstico Windows memoria en http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

INVESTIGACIÓN DE INTERFACES NO DOCUMENTADAS

La característica de estado de DEP que describo en la sección sobre mejoras del Explorador de procesos anteriormente en el boletín se basa en una función no documentada. He pensado que muchos de los usuarios estarían interesados en aprender cómo he descubierto, sin acceso al código fuente de Windows (Dave Dave, mi coautor de Windows Internals, tiene acceso, pero no lo sé), la función y su uso adecuado.

El primer paso del proceso de análisis fue crear la hipótesis de que una consulta de estado de DEP para un proceso se enrutaría a través de la NtQueryInformationProcess API. Muchas Windows api que recuperan información sobre un proceso usan la NtQueryInformationProcess interfaz para obtener la información. Esta función, que se ha prototipo en el archivo Ntddk.h del Kit de desarrollo de controladores (DDK) de Windows, es accesible desde el modo de usuario a través de la interfaz de llamada del sistema "API nativa":

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

Sus dos primeros argumentos son un identificador de un proceso y una "clase de información de proceso". La enumeración PROCESSINFOCLASS, cuyas primeras definiciones se muestran a continuación, también se incluye en NTDDK. H:

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

Como DEP se introdujo en Windows XP SP2, no esperaba que la clase de información para las consultas DEP se enumerase en las versiones de Windows XP o Windows Server 2003 de Ntddk.h y una comprobación rápida confirmó su ausencia. Por lo tanto, tenía que investigar un desensamblado de la Ntoskrnl.exe de SP 2, la imagen donde se implementa, para ver si podía determinar empíricamente la clase de información de consulta NtQueryInformationProcess DEP.

Un desensamblador toma una imagen ejecutable y enumera las instrucciones del lenguaje de ensamblado que constituyen su código. Las instrucciones del lenguaje de ensamblado se asignan directamente a las instrucciones ejecutadas por un procesador. El desensamblador que uso es IDA Pro, ya que comprende los archivos de información de depuración de Microsoft e integrará la información en la salida http://www.datarescue.com del lenguaje de ensamblado. En el desensamblado, he detectado la secuencia convolta de instrucciones al principio de NtQueryInformationProcess que toman el parámetro de clase de información del proceso y ejecutan código específico de cada clase. Como sabía que la clase de información era nueva, podía omitir la ejecución de las clases para las que vi definiciones en la enumeración de PROCESSINFOCLASS Ntddk. Esto limitó mi investigación a aproximadamente 3 o 4 nuevas clases introducidas desde Windows lanzamiento de XP.

Una de las clases, la que corresponde a un valor de 0x22, me llevó a través de una ruta de acceso de código a una función denominada , cuyo inicio se muestra ProcessInformationClassMmGetExecuteOptions aquí:

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

IDA Pro me mostró en la primera línea de la salida anterior que la función acepta un argumento, que sospechaba que era un puntero a una variable que recibe la configuración de DEP. He dedicado bastante tiempo a ver las desaconsecciones del kernel de Windows para reconocer la secuencia de instrucciones como una lectura de la estructura de datos del subproceso actual en la estructura de la región de control del procesador mov eax, large fs:124h; mov eax,[eax+44h]_KTHREAD (PCR) seguida de una referencia del campo en el 0x44 de desplazamiento KPROCESS en la estructura _KTHREAD . Las instrucciones siguientes leen bits individuales en el byte en el 0x6B en la _KPROCESS estructura .

Sin saber lo que está en el desplazamiento 0x6B en un objeto He iniciado Windbg en modo de depuración de kernel local y he ejecutado el comando , que informó de _KPROCESSdt _kprocess lo siguiente:

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

Por supuesto, estos bits se relacionan con DEP y parece que los copia de esa estructura en los bits correspondientes de la ubicación de memoria pasados como MmGetExecuteOptionsProcessInformation argumento a NtQueryInformationProcess . Por lo tanto, había determinado que podía consultar el estado de DEP de un proceso llamando a con un de 0x22, la dirección de un (entero de 4 bytes) y una longitud NtQueryInformationProcessProcessInformationClass de DWORD 4. Parece que devuelve las marcas del proceso actual solo y omite el parámetro (el Explorador de procesos consulta el estado de DEP de otros procesos haciendo que su controlador auxiliar cambie a ellos a través de la MmGetExecuteOptionsProcessHandleKeAttachProcess API).

He terminado excepto por un par de sutiles diferencias en la versión de 64 bits de Windows, ya que hago disponible una versión de 64 bits del Explorador de procesos. En el proceso de 64 Windows requiere que sea -1 y devuelve un error si el proceso actual es un proceso de 64 bits, ya que DEP siempre está en los procesos de MmGetExecuteOptionsProcessHandleSTATUS_INVALID_PARAMETER 64 bits. He usado Windbg para desensamblar la versión de 64 bits de Ntoskrnl.exe, aunque desde entonces he obtenido la versión de IDA Pro que admite el desensamblado de imágenes AMD64.

ENTRENAMIENTO INTERNO

CONEXIONES DE WINDOWS EN SAN FRANCISCO

Voy a ofrecer dos sesiones en la conferencia Windows Connections, que se ejecuta en Windows IT Pro Magazine y tiene lugar del 17 al 20 de abril en San Francisco. Una es una sesión general denominada "Understanding and Fighting Malware: Viruses, Spyware y Rootkits", donde se describe cómo el malware aprovecha las vulnerabilidades para propagar y omitir las medidas de seguridad, cómo se ocultan mediante técnicas sofisticadas denominadas "rootkits" y cómo detectarlas y limpiarlas del sistema.

La otra sesión es "Solución de problemas de memoria de Windows", donde le mostramos cómo responder a las preguntas antiguas "cuál es el significado de los valores que veo en Administrador de tareas", "qué está usando mi memoria" y "con qué tamaño debo hacer el archivo de paginación".

Descargue el folleto de la conferencia y regístrese en
http://www.devconnections.com/shows/win/default.asp?s=60#

CLASES PRÁCTICAS DE WINDOWS INTERNALS/SYSINTERNALS POR MARK RUSSINVL

Pase 5 días con Mark Russinvl y David Book, autores de la cuarta edición del libro Windows Internals, que aprende técnicas avanzadas de solución de problemas a la vez que profundiza en las características internas del kernel del sistema operativo Windows NT/2000/XP/2003. Si es un profesional de TI que implementa y admite Windows servidores y estaciones de trabajo, debe ser capaz de profundizar debajo de la superficie cuando las cosas vayan mal. Tener conocimiento de los aspectos internos del sistema operativo Windows y saber cómo usar herramientas avanzadas de solución de problemas le ayudará a solucionar estos problemas y comprender los problemas de rendimiento del sistema de forma más eficaz. Comprender lo interno puede ayudar a los programadores a aprovechar mejor la plataforma Windows, así como proporcionar técnicas de depuración avanzadas. Y dado que el curso se desarrolló con acceso completo al código fuente de Windows kernel y a los desarrolladores, sabe que está obteniendo la historia real.

Las próximas fechas incluyen:

  • 6-10 DE JUNIO, ORLANDO, FLORIDA
  • DEL 11 AL 15 DE JULIO,ICHÁN, ALEMANIA
  • DEL 19 AL 23 DE SEPTIEMBRE, SAN FRANCISCO, CALIFORNIA
  • DEL 5 AL 9 DE DICIEMBRE, TEXAS

NOTA: Se trata de una clase práctica: cada asistente debe traer su propio equipo portátil (las instrucciones de configuración se enviarán con antelación).

Conocerá en profundidad la arquitectura del kernel de Windows NT/2000/XP/2003, incluidos los procesos internos, la programación de subprocesos, la administración de memoria, la E/S, los servicios, la seguridad, el registro y el proceso de arranque. También se tratan técnicas avanzadas de solución de problemas, como la detección de malware, el análisis de volcado de memoria (pantalla azul) y la obtención de problemas de arranque anteriores. También aprenderá sugerencias avanzadas sobre el uso de las herramientas clave de www.sysinternals.com (como Filemon, Regmon, Explorador de procesos) para solucionar una variedad de problemas del sistema y de la aplicación, como equipos lentos, detección de virus, conflictos de DLL, problemas de permisos y problemas del Registro. Estas herramientas se usan diariamente por el soporte técnico de Microsoft y se han usado de forma eficaz para resolver una amplia variedad de problemas de escritorio y servidor, por lo que estar familiarizado con su funcionamiento y aplicación le ayudará a solucionar diferentes problemas en Windows. Se proporcionan ejemplos reales que muestran una aplicación correcta de estas herramientas para resolver problemas reales.

Para registrarse, visite http://www.sysinternals.com/troubleshoot.shtml


Gracias por leer el boletín sysinternals.

Publicado el miércoles, 5 de enero de 2005 a las 4:36 p. m. por

[Archivo de boletín ^][ Volumen 6, número 2][Volumen 7, anuncio especial ]

[Archivo de boletín ^][ Volumen 6, número 2][Volumen 7, anuncio especial ]

The Systems Internals Newsletter Volume 7, Number 1

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinvl