En esta entrada hablaremos de los procesos legítimos en Windows:

Como concepto “procesos legítimos” serian los procesos que Windows utiliza para ejecutarse, entre estos estarían los propios de Windows, los drivers de nuestros componentes, procesos de las aplicaciones que tenemos instaladas entre otros. Si existe el concepto de procesos legítimos también existe el de procesos ilegítimos, que esos son los procesos que son ejecutados por virus y se ven a simple vista o que se ocultan como procesos legítimos.

Para detectar procesos ilegítimos existen diferentes formas, la más básica y funcional sería el uso de recursos.

Por ejemplo, el proceso ctfmon.exe (Que se encarga de la entrada de texto en Windows) utiliza 3,8 MB en mi caso, seria anómalo que utilizara 500 MB o incluso más.

Para ver los procesos y sus recursos utilizaremos el administrador de tareas:

Este es el administrador de tareas sin desplegarse


Este es administrador de tareas una vez desplegado, aquí podemos ver las tareas que agrupan procesos

Esta es la pestaña de detalles y aquí vemos cada proceso


Ahora haremos una lista de los procesos lícitos mas comunes:

  • smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
  • csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
  • winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
  • services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicios que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.
  • alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
  • lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
  • explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
  • ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.). El mismo se encuentra alojado en la carpeta system32
  • dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.
  • System32svchost.exe (Microsoft Service Host Process): realiza un análisis del registro para identificar los servicios que necesita cargar el sistema. Está en la carpeta system 32.
  • Winlogon.exe (Microsoft Windows Logon Process): en la autenticación y alojado en la carpeta system 32 de Windows.