2.0.1.2 class activity identify running processes
0 recomendaciones279 vistas
Este documento describe una práctica de laboratorio para identificar procesos en ejecución en una computadora Windows usando la herramienta TCPView de la suite Sysinternals. Los estudiantes aprenderán a descargar e instalar TCPView, ver los procesos en ejecución actualmente como lsass.exe en la carpeta System32, y observar cómo aparecen y desaparecen nuevos procesos como un navegador web al abrirse y cerrarse.
2.0.1.2 class activity identify running processes
- 1. © Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 3 www.netacad.com Actividad de clase: Identificar procesos en ejecución Objetivos En esta práctica de laboratorio utilizarán el Visor de terminales TCP/UDP, una herramienta de la suite Sysinternals, para identificar cualquier proceso en ejecución en su computadora. Antecedentes / Escenario En esta práctica de laboratorio estudiarán procesos. Los procesos son programas o aplicaciones en ejecución. Estudiarán los procesos con el Explorador de procesos en la suite Sysinternals para Windows. También iniciarán y observarán un proceso nuevo. Recursos necesarios • 1 PC Windows con acceso a Internet Paso 1: Descarguen la suite Sysinternals para Windows. a. Diríjanse al siguiente enlace para descargar la suite Sysinternals para Windows: https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx b. Una vez finalizada la descarga, hagan clic derecho sobre el archivo zip y elijan Extract All… (Extraer todo) para extraer los archivos a la carpeta. Elijan el nombre y el destino predeterminados en la carpeta (Downloads) Descargas y hagan clic en Extract (Extraer). c. Salgan del navegador web Paso 2: Inicien el Visor de terminales TCP/UDP. a. Diríjanse a la carpeta SysinternalsSuite con todos los archivos extraídos.
- 2. Actividad de clase: Identificar procesos en ejecución © Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 3 www.netacad.com b. Abran Tcpview.exe. Acepten el Acuerdo de licencia de Process Wxplorer cuando el sistema se lo solicite. Hagan clic en Yes (Sí) para permitir que esta aplicación realice cambios en sus dispositivos. c. Salgan del Explorador de archivos y cierren todas las aplicaciones en ejecución. Paso 3: Estudien los procesos en ejecución. a. TCPView incluye en una lista los procesos que se encuentran en este momento en su PC Windows. En este instante, solo se están ejecutando procesos de Windows. b. Hagan doble clic en lsass.exe. ¿Qué es lsass.exe? ¿En qué carpeta está ubicado? ____________________________________________________________________________________ ____________________________________________________________________________________ c. Cierren la venta de propiedades correspondiente a lsass.exe cuando hayan terminado. d. Miren las propiedades correspondientes a los otros procesos en ejecución. Nota: No se puede consultar la información de las propiedades correspondiente a todos los procesos. Un archivo que ejecuta un proceso de nombre: Local Security Authority Process, y se encuentra ubicado en C:WindowsSystem32lsass.exe
- 3. Actividad de clase: Identificar procesos en ejecución © Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 3 www.netacad.com Paso 4: Estudien un proceso iniciado por el usuario. a. Abra un navegador web, como Microsoft Edge. ¿Qué observaron en la ventana de TCPView? ____________________________________________________________________________________ b. Cierre el navegador web. ¿Qué observaron en la ventana de TCPView? ____________________________________________________________________________________ c. Vuelvan a abrir el navegador web. Estudien algunos de los procesos de la lista de TCPView. Registre sus conclusiones. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Se visualizan que se inician nuevos procesos, en mi caso Opera.exe, así como procesos svchost.exe Los procesos desaparecen del TCPView y nos indica los estados mediante colores a la inversa que cuando se inician. El TCPView nos muestra los proceso de mi navegador (Opera) indicando para cada uno de ellos el PID (6000 en mi caso), el protocolo de capa de transporte usado, TCP en este caso; la dirección local pero como un FQDN (no muestra el IP), el puero local (uno aleatorio), dirección remota (también como FQDN) y el puerto remoto al ser conocido me muestra el protocolo en uso https, el estado de la conexión (Si está etablecido, escuchando o en espera) y finalmente los datos de los paquetes enviados y recibidos; en conclusión nos muestra los datos mas relevantes de las cabeceras de capas de transporte y de red.