TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

It happens that JM Tella Llop [MVP Windows] formulated :

TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

(...)

Como siempre, muchas gracias por estar ahí, culturizandonos. Gracias
por tus artículos y compartirlos con todos nosotros :-)

Si quieres escribirme, Recuerda: NO soporto el PUTO-SPAM... :-P

It happens that JM Tella Llop [MVP Windows] formulated :

TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

(...)

Como siempre, muchas gracias por estar ahí, culturizandonos. Gracias
por tus artículos y compartirlos con todos nosotros :-)

Si quieres escribirme, Recuerda: NO soporto el PUTO-SPAM... :-P

Pues parece que se están esperando a base de bien con el SP2 ... anda que no
tengo ganas de que salga :-)



Saludos. Peni


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es
un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los
sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica
informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en
nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos
que en nuestra maquina tienen en un momento determinado una conexion
"ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard,
podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que
tienen conexion establecida como el ejemplo anterior, sino los que están "a
la escucha" (LISTENING) como se puede ver en la salida anterior. Estos
puertos son potencialmente peligrosos porque pueden provenir, o estar
abiertos en escucha, por un proceso malicioso: por un troyano. podemos
filtar la informacion anterior para ver los que están en escucha, dando el
comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso
del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al
final de la salida anterior, es necesario identificarla con el nombre del
programa que está en ejecucion en maquina. Esto es relativamente sencillo en
XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist")
y buscando uno por uno, cada numero de proceso (PID), con el programa
asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso
y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos
van a servir para identificar los proceos o incluso los modulos incorporados
en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas
adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha
lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas
que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico
desistemas o a un usuario avanzado. No solo da el programa, sino todos los
modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas
fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante
un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente
no lo veremos en la lista de procesos pero lo veremos, con nombre, o con
un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi
punto de vista, una de las herramientas mas potentes en este momento acaba
de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas",
pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya
existente. Por ejemplo, para ver programas y tambien modulos de los procesos
en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Pregunta: ¿como se hace para poner la letra de la unidad
entre corchetes? ¿O eso no influye?

Perdon si es una duda tonta

TIP - SP2: nuevos parametros de control de seguridad:

NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de

comandos: cmd.exe) es un viejo compañero del tcp/ip desde
sus inicios y un estandar en todos los sistemas
operativos.

Hasta el momento, tanto en windows, como en unix /

linux, la unica informacion que nos proporcionaba era las
conexiones tcp/ip que teniamos en nuestra maquina de
varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign

Address State

TCP PCxx1:1304

SVCW2K·:3389 ESTABLISHED

TCP PCxx1:1424

privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos

informa de los puertos que en nuestra maquina tienen en
un momento determinado una conexion "ESTABLECIDA" con una
maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros

hasta ahora estandard, podemos comprobar toda la
informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos,

no solo los que tienen conexion establecida como el
ejemplo anterior, sino los que están "a la escucha"
(LISTENING) como se puede ver en la salida anterior.
Estos puertos son potencialmente peligrosos porque pueden
provenir, o estar abiertos en escucha, por un proceso
malicioso: por un troyano. podemos filtar la informacion
anterior para ver los que están en escucha, dando el
comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de

identificacion de proceso del programa que lo ha lanzado,
podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de

proceso dado al final de la salida anterior, es necesario
identificarla con el nombre del programa que está en
ejecucion en maquina. Esto es relativamente sencillo en
XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com

la utilidad "pslist") y buscando uno por uno, cada numero
de proceso (PID), con el programa asociado.

Es decir, la información está, se puede hacer

completa,... pero es engorroso y maximo a un usuario
final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos

paramettos "b" y "v" que nos van a servir para
identificar los proceos o incluso los modulos
incorporados en el proceso en sí. Esto ultimo es
importantisimo y lo comentaremos mas adelante con mas
detalle.

Un ejemplo para ver las conexiones establecidas y el

programa que las ha lanzado, puede ser:

[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address

State PID

TCP PCxx1:1304 SVCW2K·:3389

ESTABLISHED 1640

[mstsc.exe]

TCP PCxx1:1429

msnews.microsoft.com:nntp ESTABLISHED 5984

[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los

nombre de los programas que se ven envueltos en la
conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address

State PID

TCP PCxx1:1304

SVCW2K·:3389 ESTABLISHED 1640

K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429

msnews.microsoft.com:nntp ESTABLISHED 5984

K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de

cara un tecnico desistemas o a un usuario avanzado. No
solo da el programa, sino todos los modulos que se ven
afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o

programas fundamentalmente spywares, o sobre
todo "rootkits" pueden enlazarse mediante un gancho
("hook") a un proceso del sistema. Ese codigo maligno,
normalmente no lo veremos en la lista de procesos
pero lo veremos, con nombre, o con un indicador
de "desconocido" en la lista de modulos anteriores. Bajo
mi punto de vista, una de las herramientas mas potentes
en este momento acaba de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a

conexiones "no establecidas", pero en escucha, sin mas
que mezcalr estos nuevos parametros con los ya existente.
Por ejemplo, para ver programas y tambien modulos de los
procesos en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

Peni used his keyboard to write :

Pues parece que se están esperando a base de bien con el SP2 ... anda que no
tengo ganas de que salga :-)

Jejeje... yo tambien tengo ganas :D
¿Pero es una actualización... o un sistema operativo nuevo? (a este
paso... poco quedará del XP original :D)

Si quieres escribirme, Recuerda: NO soporto el PUTO-SPAM... :-P