Una de las formas más eficaces de detectar y analizar malware y actividad sospechosa de un PC es controlando todos los cambios que se realizan en el sistema operativo. Windows, por defecto, aunque cuenta con un visor de sucesos, este no registra todos y cada uno de los cambios que se realizan, por lo que la información que nos brinda es, generalmente, bastante pobre. El sistema operativo de Microsoft no nos permite por defecto controlar los cambios del registro y de los archivos del disco duro, por lo que, para ello, debemos recurrir a aplicaciones de terceros diseñadas para dicho fin, como es el caso de Event Monitor Service.
Event Monitor Service es una aplicación gratuita (para uso doméstico) que se encarga de controlar todos los eventos clave del sistema y registrarlos para poder analizarlos con detenimiento para comprobar si nuestro ordenador actúa de forma extraña debido a una posible infección de malware o software no deseado.
Event Monitor Service se ejecuta como un servicio del sistema y se encarga de monitorizar todos los cambios que ocurren en el equipo:
- Creación de nuevos archivos.
- Eliminación de archivos.
- Ejecutables portables copiados al disco.
- Procesos creados.
- Módulos y librerías cargadas.
- Controladores cargados.
- Cambios en el registro de Windows.
Cómo funciona Event Monitor Service
Para utilizar esta aplicación, lo primero que debemos hacer es descargarla de forma gratuita desde el siguiente enlace. Una vez descargado (bajaremos un fichero comprimido) lo descomprimimos y veremos dos carpetas, una para 32 bits y otra para 64 bits.
Dentro de estas carpetas encontraremos varios archivos y dos carpetas, una por cada arquitectura. Dentro de estas carpetas veremos dos ficheros: install.bat y uninstall.bat. Para instalar el servicio debemos copiar la carpeta «EMSvc» a la ruta por defecto, «C:». Una vez copiada, nos situamos en dicha carpeta y ejecutamos «install.bat», el cual se encarga de copiar el servicio a la ruta «C:EMSvc».
Si editamos el fichero bat podemos elegir una ruta personalizada.
Una vez ejecutado el servicio ya no tenemos que hacer nada más. Simplemente debemos dejar al proceso trabajando, el cual irá registrando todo lo que ocurre en nuestro sistema.
Todos los registros se guardan en la ruta «C:EMSvcLogs«, desde donde veremos carpetas organizadas por días, dentro de las cuales tendremos ficheros de texto con todos los cambios registrados.
Si abrimos el administrador de tareas de Windows, podremos ver cómo Event Monitor Service está funcionando como un servicio del sistema.
Aunque apenas consume recursos, cuando ya no la necesitemos podemos desinstalar el servicio de Event Monitor Service fácilmente ejecutando el fichero «uninstall.bat» del que hemos hablado antes, el cual, eliminará dicho servicio, aunque mantendrá todos los archivos (tanto registros como los ficheros del programa y el archivo «install.bat») en la ruta original (C:EMSvc) para volver a instalarlos en caso de que sea necesario.
¿Qué te parece Event Monitor Service? ¿Conoces otras herramientas similares?