Portmon for Windows – SysInternals

Categoría: Utilidades de procesos
Versión: v3.03
Última actualización: 12/01/2012
Resumen: Portmon for Windows
OS: Cliente:

Introducción

Portmon es una utilidad que monitorea y muestra toda la actividad del puerto serie y paralelo en un sistema. Tiene capacidades avanzadas de filtrado y búsqueda que lo convierten en una poderosa herramienta para explorar la forma en que funciona Windows, ver cómo las aplicaciones usan los puertos o rastrear problemas en las configuraciones del sistema o de la aplicación.

Portmon 3.x

La versión 3.x de Portmon marca la introducción de una serie de potentes funciones.

• Supervisión remota: captura el modo kernel y/o la salida de depuración de Win32 desde cualquier computadora accesible a través de TCP/IP, incluso a través de Internet. Puedes monitorear varias computadoras remotas simultáneamente. Portmon incluso instalará su software de cliente si lo estás ejecutando en un sistema Windows NT/2K y estás capturando desde otro sistema Windows NT/2K en el mismo entorno de red.
• Listas de filtros más recientes: Portmon se ha ampliado con potentes capacidades de filtrado y recuerda sus selecciones de filtros más recientes, con una interfaz que facilita volver a seleccionarlos.
• Copia del portapapeles: selecciona varias líneas en la ventana de salida y copia su contenido en el portapapeles.
• Resaltado: Resalta la salida de depuración que coincida con tu filtro de resaltado e incluso personaliza los colores de resaltado.
• Log-to-file: escribe la salida de depuración en un archivo a medida que se captura.
• Impresión: imprime todo o parte de la salida de depuración capturada en una impresora.
• Carga útil en un archivo: Portmon ahora se implementa como un archivo.

El archivo de ayuda en línea describe todas estas características y más, en detalle.

Instalación y Uso

Simplemente ejecuta el archivo de programa Portmon (portmon.exe) y Portmon comenzará inmediatamente a capturar la salida de depuración. Para ejecutar Portmon en Windows 95, debes obtener la actualización de WinSock2 de Microsoft. Ten en cuenta que si ejecutas Portmon en Windows NT/2K, portmon.exe debe estar ubicado en una unidad que no sea de red y debes tener privilegios administrativos.

Portmon comprende todos los comandos de control de E/S de puerto paralelo y serie (IOCTL) y los mostrará junto con información interesante sobre sus parámetros asociados. Para solicitudes de lectura y escritura, Portmon muestra las primeras docenas de bytes del búfer, usando ‘.’ para representar caracteres no imprimibles. La opción de menú Mostrar hexadecimal te permite alternar entre ASCII y salida hexadecimal sin procesar de datos de búfer.

Cómo trabaja: Windows NT

La GUI de Portmon es responsable de identificar los puertos serie y paralelos. Lo hace enumerando los puertos serie que están configurados en HKEY_LOCAL_MACHINE\Hardware\DeviceMap\SerialComm y los puertos paralelos definidos en HKEY_LOCAL_MACHINE\Hardware\DeviceMap\Parallel Ports. Estas claves contienen las asignaciones entre los nombres de dispositivos de puerto serie y paralelo y los nombres accesibles de Win32.

Cuando seleccionas un puerto para monitorear, Portmon envía una solicitud a su controlador de dispositivo que incluye el nombre NT (por ejemplo, \device\serial0) que le interesa. El controlador usa API de filtrado estándar para adjuntar su propio objeto de dispositivo de filtro al objetivo objeto de dispositivo. Primero, usa ZwCreateFile para abrir el dispositivo de destino. Luego, traduce el identificador que recibe de ZwCreateFile a un puntero de objeto de dispositivo. Después de crear su propio objeto de dispositivo de filtro que coincida con las características del objetivo, el controlador llama a IoAttachDeviceByPointer para establecer el filtro. A partir de ese momento, el controlador de Portmon verá todas las solicitudes dirigidas al dispositivo de destino.

Portmon tiene conocimiento incorporado de todos los IOCTL estándar de puerto serie y paralelo, que son la forma principal en que las aplicaciones y los controladores configuran y leen la información de estado de los puertos. Los IOCTL se definen en el archivo DDK \ddk\src\comm\inc\ntddser.h y \ddk\src\comm\inc\ntddpar.h, y algunos están documentados en el DDK.

Cómo funciona: Windows 95 y 98

En Windows 95 y 98, la GUI de Portmon se basa en un VxD cargado dinámicamente para capturar la actividad en serie y en paralelo. El controlador de dispositivo VCOMM (Comunicaciones virtuales) de Windows sirve como interfaz para dispositivos paralelos y serie, por lo que las aplicaciones que acceden a los puertos utilizan indirectamente sus servicios. Portmon VxD utiliza el enlace de servicio VxD estándar para interceptar todos los accesos a las funciones de VCOMM. Al igual que su controlador de dispositivo NT, VxD de Portmon interpreta las solicitudes para mostrarlas en un formato amigable. En Windows 95 y 98, Portmon supervisa todos los puertos, por lo que no hay selección de puertos como en NT.

Informar de errores

Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx

Otras consideraciones

Ninguna

Obtener el programa:

• Descargar Portmon.exe (226 KB)
• Ejecutar desde SysInternals Live

Referencias

• Portmon por Mark Russinovich y Roberto C. González

Fuente Imágenes

Portmon for Windows: Imágenes cortesía by Nala Systems

Portmon for Windows by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft
©2022, Ethical Hack, Todos los derechos reservados sobre la traducción.
©2022, Ethical Hack, Todos los derechos reservados sobre el contenido propio.

Powered by – Ethical Hack