06 febrero, 2013

Process Monitor [procmon]: Monitorear a tiempo real todo lo que sucede en Windows, aplicaciones, procesos, hilos de ejecución

Process Monitor, es una herramienta desarrollada por Sysinternals (empresa que comprada por Microsoft) en la que su fundador y autor de esta aplicación es el conocido Mark Russinovich. Con procmon prácticamente podremos monitorear todo tipo de actividad de lo que está sucediendo de manera oculta y/o transparente al usuario en un equipo local con Windows.

Creía que ya hablara de esta herramienta en el blog, pero cuando me puse a buscarla vi que no tenía nada. Por eso que la menciono ahora, personalmente es una herramienta que utilizo muchísimo para entender en muchas ocasiones el funcionamiento de un sistema operativo en entornos Windows.

Podremos monitorear prácticamente todo del sistema: creación de ficheros temporales, operaciones de escritura o lectura en disco, operaciones en el registro de Windows, recepción o transmisión de los protocolos TCP o UDP, creación de hilos (threads), creación de procesos, etc.

Una de las características que más me gusta y que más suelo utilizar es la creación de filtros. Ya que podremos filtrar por una amplia gama de opciones o criterios y así solo mostrar lo que nos interesa ver (podremos definir colores para intentar visualizar de una forma más clara).
Podremos agregar o quitar columnas y de ese modo visualizar más o menos información de cada evento ocurrido, esto ya iría en función a la necesidad del resultado de lo que cada uno quisiera obtener.


Otra característica interesante es que en la visualización del árbol de procesos o threads, Podremos ver los paths donde se alojan y las dependencias (módulos) de librerías dll u otros exe de los que dependerá dicho proceso. También comprobar operaciones a nivel de pila, mostrar los valores de la dirección de memoria donde se están efectuando las acciones, entre otras opciones.


Descargar Process Monitor

Para más información detallada sobre Procmon o Process Monitor:
http://blogs.technet.com/b/appv/archive/2008/01/24/process-monitor-hands-on-labs-and-examples.aspx

05 febrero, 2013

Autologin o autologon en Windows desde regedit

Si en nuestro tenemos creadas varias cuentas de usuario y estas protegidas con contraseñas y simplemente queremos que se inicie automáticamente con uno de esos usuarios en Windows.

Existen varias formas de poder realizar esto, propongo tres posibles soluciones.

> La primera la podremos hacer mediante el registro de Windows.

[1] - Abrimos una ventana "Ejecutar" (Tecla Windows + R) y escribimos: regedit.
[2] - Dentro del registro de Windows, buscamos la ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[3] - En el valor DefaultUserName escribimos el nombre del usuario creado en el equipo en el que queremos iniciar de forma automática.
[4] - En el valor DefaultPassword escribimos la password (si no existe la clave, la creamos como una clave alfanumérica -valor de cadena- (REG_SZ)).
[5] - Cambiamos el valor de AutoAdminLogon a 1.
[6] - Y por último, si se trata de un usuario del dominio o de un usuario local: creamos (un valor alfanumérico -valor de cadena- REG_SZ) o si ya está creado cambiamos el valor DefaultDomainName a "nuestroDominio" o "NombreDeNuestroEquipo".

> La segunda forma de hacerlo es de modo gráfico en Windows.

Abrimos una ventana "Ejecutar" (Tecla Windows + R) y escribimos: "netplwiz" o "control userpasswords2".

Para realizarlo de esta forma, lo comentara en su día en otra entrada de este blog:
http://www.zonasystem.com/2010/09/iniciar-sesion-de-usuario.html

> La tercera forma es hacerlo mediante alguna aplicación externa de Windows.

Para esto usaré una aplicación de sysinternals.com, la cual podemos descargar de aquí:
http://technet.microsoft.com/es-es/sysinternals/bb963905.aspx
Esta simplemente lo hará de modo más fácil al usuario final, pero por detrás simplemente estará modificando las claves del registro de Windows que comento en la primera solución.


Al terminar de introducir los datos en la ventana de la aplicación, pulsamos en Enable, reiniciamos, comprobamos que haga autologin y podremos borrar el "Autologon.exe" de la aplicación.

Si lo queremos más adelante con los mismo datos podremos quitar el Autologon marcando Disable en la aplicación o invirtiendo las claves del registro manualmente que se mencionan en la primera posible solución de este artículo.
Entradas Relacionadas