In diverse occasioni può essere utile vedere quali processi sono attivi, quanta memoria occupano e come si “comportano” sul nostro sistema. Per svolgere questi compiti esistono semplici programmini freeware, ma volendo queste informazioni si possono ricavare anche da linea di comando.
Per vedere la lista dei processi in esecuzione sul proprio PC è possibile utilizzare il comando tasklist, disponibile sui sistemi Windows XP e 2003. Questo comando permette di vedere l’elenco dei processi in esecuzione sul sistema, il loro PID (il numero identificativo del processo, cosa molto utile) e la loro occupazione in termini di memoria RAM. Questo comando ha anche un’utile opzione, “/svc” (il comando esteso diventa quindi tasklist /svc), che permette di conoscere i servizi associati ad un determinato processo. Siccome alcuni malware sono talmente fetenti da avviarsi non come processo ma come servizio, conoscere a quale servizio è associato un file in esecuzione può essere molto utile.
Un altro comando con funzioni simili è pmon, disponibile in Windows Server 2003 previa installazione dei Resorce Kit Tools scaricabili dal sito Microsoft, che permette di vedere in tempo reale i processi attivi sul sistema. L’incolonnamento delle varie voci potrebbe migliorare e tutto l’insieme non è di facile lettura, però questo comando ha una cosa molto carina, la possibilità di vedere immediatamente quanta memoria fisica è disponibile sul sistema.
Queste informazioni possono essere utilissime se associate alle informazioni ricavabili dal comando netstat -noa. Questo comando permette di vedere le connessioni di rete attive e di visualizzare il PID associato ad una determinata connessione di rete. Incrociando il PID con la lista dei PID visualizzata col comando tasklist è possibile determinare il nome del file associato ad una applicazione in ascolto su porte strane, per cui, conoscendo il file, è possibile analizzarlo per vedere se si tratta di un malware o di un processo legittimo.