Actividad de clase: Identificar procesos en ejecución
Objetivos
En esta práctica de laboratorio utilizarán el Visor de terminales TCP/UDP, una herramienta de la
suite Sysinternals, para identificar cualquier proceso en ejecución en su computadora.
Parte 1: Descargue Windows Sysinternals Suite.
Parte 2: Inicie el visualizador de terminal TCP/UDP
Parte 3: Explore los procesos de ejecución
Parte 4: Explore un proceso iniciado por el usuario.
Antecedentes / Escenario
En esta práctica de laboratorio estudiarán procesos. Los procesos son programas o aplicaciones en
ejecución. Estudiarán los procesos con el Explorador de procesos en la suite Sysinternals para Windows.
También iniciarán y observarán un proceso nuevo.
Recursos necesarios
1 Una PC Windows con acceso a internet
Instrucciones
Parte 1: Descarguen la suite Sysinternals para Windows.
a. Diríjanse al siguiente enlace para descargar la suite Sysinternals para Windows:
[Link]
b. Una vez finalizada la descarga, hagan clic derecho sobre el archivo zip y elijan Extract All… (Extraer
todo) para extraer los archivos a la carpeta. Elijan el nombre y el destino predeterminados en la carpeta
(Downloads) Descargas y hagan clic en Extract (Extraer).
c. Salgan del navegador web
Parte 2: Inicien el Visor de terminales TCP/UDP.
a. Diríjanse a la carpeta SysinternalsSuite con todos los archivos extraídos.
b. Abran [Link]. Acepten el Acuerdo de licencia de Process Wxplorer cuando el sistema se lo
solicite. Hagan clic en Yes (Sí) para permitir que esta aplicación realice cambios en sus dispositivos.
c. Salgan del Explorador de archivos y cierren todas las aplicaciones en ejecución.
Parte 3: Estudien los procesos en ejecución.
a. TCPView incluye en una lista los procesos que se encuentran en este momento en su PC Windows. En
este instante, solo se están ejecutando procesos de Windows.
Pregunta:
b. Hagan doble clic en [Link].
¿Qué es [Link]? ¿En qué carpeta está ubicado?
2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 4
[Link]
�Actividad de clase: Identificar procesos en ejecución
[Link] es el proceso que permite el correcto funcionamiento de todos los protocolos de seguridad del
sistema operativo Windows, por lo que su ejecución es indispensable; por formar parte del sistema, su
desarrollador obviamente ha sido la corporación Microsoft.
Se debe notar que el proceso de Windows es [Link] (con la letra l), en cambio el programa malicioso
es [Link] (con la letra i).
Uno de los gusanos que utiliza ese nombre es el IRC/[Link] y suele ubicarse en
C:\Windows\Sysem32\[Link]
c. Cierren la venta de propiedades correspondiente a [Link] cuando hayan terminado.
d. Miren las propiedades correspondientes a los otros procesos en ejecución.
Nota: No se puede consultar la información de las propiedades correspondiente a todos los procesos.
Parte 4: Estudien un proceso iniciado por el usuario.
a. Abra un navegador web, como Microsoft Edge.
¿Qué observaron en la ventana de TCPView?
Que los procesos relacionados con MicrosoftEdge salen en color verde y amarillo
Pregunta:
b. Cierre el navegador web.
¿Qué observaron en la ventana de TCPView?
Los procesos de MicrosoftEdge se pone de color rojo y se cierra.
2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 4
[Link]
�Actividad de clase: Identificar procesos en ejecución
c. Vuelvan a abrir el navegador web. Estudien algunos de los procesos de la lista de TCPView. Registre
sus conclusiones.
He visto que [Link] es el proceso que permite el correcto funcionamiento de todos los protocolos de
seguridad del sistema operativo Windows, por lo que su ejecución es indispensable; por formar parte del
sistema, su desarrollador obviamente ha sido la corporación Microsoft.
Se debe notar que el proceso de Windows es [Link] (con la letra l), en cambio el programa malicioso
es [Link] (con la letra i).
Uno de los gusanos que utiliza ese nombre es el IRC/[Link] y suele ubicarse en
C:\Windows\Sysem32\[Link]
En los procesos de [Link] Cuando se inicia, cambia a color verde y confirma que se ha establecido
una conexión con el servidor, cambia el estado, cuando se inicia y esta established, y cuando lo
mantengo cerrado esta en Close Wait. Además de la información por que puerto sale la local address del
origen y la remote address.
También he podido comprobar que [Link], de vez en cuando cambia de color y he descubierto que
es un proceso legítimo de Windows cuya ejecución se lleva a cabo desde el Administrador de tareas.
Una de las principales características de Service Host, es que puede ejecutar varios procesos al mismo
tiempo y de distinta clasificación. Es decir que, un proceso de [Link] puede ocuparse de servicios
relacionados a llamadas de procesamiento remoto, servicios de red, etc.
Para detectar si tu equipo posee el virus [Link], lo primero que debes hacer es ingresar al
Administrador de tareas y comprobar los procesos de Service Host en proceso de ejecución. Cuando
[Link] se encuentre en otro sitio del equipo, podría tratarse de un virus. Otra manera de
comprobarlo, es teniendo en cuenta el nombre original del archivo. Si está escrito sin “c” ([Link]) o
con una “s” adicional ([Link]).
2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 4
[Link]
�Actividad de clase: Identificar procesos en ejecución
Fin del documento
2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 4
[Link]
