35. Revisión de procesos ocultos en Windows

 Una guía práctica para análisis forense y detección de actividad sospechosa

🧭 Introducción

Cuando revisamos procesos en Windows, lo primero que hacemos es usar la combinación clásica:
Ctrl + Alt + Supr → Administrador de tareas.

Allí vemos los procesos en ejecución, y al seleccionar cualquiera, el sistema nos muestra sus instancias (por ejemplo, Firefox, Screen Recorder, etc.). Pero, ¿es suficiente?

❌ Limitaciones del Administrador de Tareas

Para un peritaje informático o un análisis técnico-profesional, el Administrador de Tareas es muy limitado.
No obtenemos información clave como:

  • Origen del proceso

  • Acciones específicas que realiza

  • Bibliotecas asociadas

Imaginemos que un atacante dejó un malware ejecutándose desde un directorio temporal. Con el Administrador de Tareas, difícilmente detectaríamos esta anomalía.

🎯 Ejemplo práctico: Software crackeado

Supongamos que instalamos un antivirus crackeado (ej. Kaspersky), y detrás se ejecuta una aplicación maliciosa.
Para identificarlo, necesitamos:

  • Conocer los procesos ocultos

  • Revisar las bibliotecas que cada programa utiliza

📚 ¿Qué son las bibliotecas?

Son archivos pequeños que los programas usan para funcionar. Pueden ser:

  • Del sistema operativo → Comunes y esperadas

  • Específicas del programa → Propias de la aplicación

🛠️ Herramienta clave: Curl Process (Process Explorer)

Esta utilidad nos permite analizar en detalle:

  • Procesos activos (parte superior de la interfaz)

  • Bibliotecas cargadas por cada proceso (parte inferior)

🔍 Análisis paso a paso

  1. Ejecutamos Process Explorer

  2. Seleccionamos un proceso (ej. setprocess.exe)

    • Obtenemos:

      • Process ID (PID)

      • Prioridad

      • Ruta de ejecución

      • Empresa y versión

  3. Revisamos sus bibliotecas

    • Verificamos que estén en rutas esperadas:

      • C:\Program Files\...

      • C:\Windows\System32\...

      • Rutas propias del programa

⚠️ Señales de alerta

  • Un proceso cargando bibliotecas de programas no relacionados

  • Ejecución desde directorios temporales o sospechosos

  • Bibliotecas en rutas inconsistentes con la función del programa

Ejemplo:
Si un broker de trading (ej. IQ Option) carga bibliotecas de Kaspersky, es una señal para investigar.

💾 Exportación de información

Para respaldar el análisis:

  1. Seleccionar todos los procesos

  2. File → Save Selected Process

  3. Guardar como archivo de texto delimitado por tabs

  4. Revisar el archivo generado con detalles completos de cada proceso

✅ Conclusión

Process Explorer es una herramienta esencial para:

  • Identificar procesos ocultos

  • Validar la legitimidad de bibliotecas

  • Detectar actividad maliciosa en etapas tempranas

¡Nos vemos en la siguiente clase!
Hasta luego.


Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más