Daniel Martín's blog : Explorer

Descubrir valores de Registro no documentados usando Process Monitor

dmartin — Sun, 16 Aug 2009 23:01:00 GMT

A mucha gente le gusta personalizar su sistema de escritorio al máximo posible. Por ello, Microsoft acostumbra a incorporar en sus sistemas operativos bastantes menús y cuadros de diálogo capaces de personalizar muchos de los detalles de funcionamiento de Windows. Sin embargo, hay ciertos detalles que no son modificables desde la interfaz gráfica, solamente desde el Registro; siempre siguiendo los pasos de algún artículo de la documentación oficial de Microsoft (KB, MSDN LIbrary, Technet Library, etc.). También hay detalles que no están documentados pero que pueden "descubrirse" utilizando herramientas de monitoreo del Registro, como Process Monitor, tal y como se explica en este artículo.

En el caso que nos ocupa, el usuario quería modificar el tiempo de aparición de la vista en miniatura de una aplicación en la barra de tareas de Windows Vista. En Windows Vista, la funcionalidad Windows Aero permite ver, a golpe de ratón, el contenido de todas y cada una de las ventanas minimizadas en la barra de tareas. El usuario intentaba buscar una forma de acortar ese tiempo de aparición de la vista en miniatura, pues le parecía excesivo. En Internet la alternativa que es más popular es la de modificar el valor de Registro MouseHoverTime de la clave de Registro HKEY_CURRENT_USER\Control Panel\Mouse. Sin embargo, este valor influye en el tiempo que tarda en reconocerse un posicionamiento del cursor del ratón, en cualquier parte de la interfaz gráfica de Windows. Era necesario buscar algún valor de Registro más específico, y para ello iba a recurrir a Process Monitor.

Antes de nada hay que comentar que no tenía la garantía de que existiera un valor de Registro que controlara ese aspecto tan específico de la interfaz gráfica de Windows. De existir, suelen ser parámetros que solo se tienen en cuenta en las versiones de depuración (checked) del sistema operativo. De todas formas, abrí Process Monitor y establecí un filtro de aquellos eventos de Registro que contuvieran en su ruta la palabra "Thumbnail". Inicié Explorer.exe y rápidamente me encontré con tres eventos bastante interesantes:

El primer evento indica el momento en que Explorer.exe examina una directiva, TaskbarNoThumbnail, configurable desde Directiva de grupo, encargada de desactivar las vistas en miniatura de la barra de tareas. La lectura de este valor me hizo pensar que los dos valores siguientes podrían estar relacionados con lo que buscaba.

Esos dos eventos siguientes hacen referencia a una búsqueda de cierta rama en el Registro (ExplorerThumbnails), tanto en la rama HKEY_CURRENT_USER como en la rama HKEY_LOCAL_MACHINE. El primer evento hace referencia al SID de mi usuario dentro de la rama HKEY_USERS (HKU) simplemente porque ejecuté Process Monitor desde una cuenta limitada, proporcionando obviamente el nombre de usuario y contraseña del administrador.

¿Qué sería esa rama ExplorerThumbnails? La verdad es que no encontré nada documentado en Internet, pero su nombre era lo suficientemente atractivo como para seguir indagando. Una de las cosas que suelo hacer en casos como este es crear la clave que busca en este caso Explorer.exe y ver qué valores o subclaves de Registro busca a continuación. Eso hice: Abrí Editor del Registro y creé la clave de Registro ExplorerThumbnails. Volví a capturar una traza con Process Monitor y el resultado ofreció otros tres valores tan interesantes como desconocidos:

Los valores InitialThumbnail, InitialTooltip y AutoPopTooltip me hacían pensar que efectivamente estaban relacionados con lo que realmente buscaba: Modificar el tiempo de aparición de la vista en miniatura. En este caso podría haber experimentado introduciendo algunos valores aleatorios para esos valores de Registro y observar los resultados, aunque en este caso recurrí a una lectura del código fuente de Explorer.

Al parecer, el valor InitialThumbnail tiene que ver con el tiempo en milisegundos que tarda en aparecer la vista en miniatura desde que se sitúa el cursor del ratón en la aplicación minimizada en la barra de tareas; InitialTooltip influye en el tiempo de aparición del texto emergente que siempre aparece encima de la vista en miniatura, un tiempo después. Por último, AutoPopTooltip influye en el tiempo que tarda en desaparecer el texto emergente. Por defecto, si no se encuentran esos valores en el Registro, el sistema supone, respectivamente, 500, 1000 y 5000 milisegundos.

Para concluir, codifiqué una aplicación gráfica que facilitara la modificación de estos valores en el Registro: http://winvista.mvps.org/Ficheros/TweakThumbnails.zip

Ya conoce otro posible uso de Process Monitor: Intentar descubrir valores de Registro (o ficheros) no documentados pero que pueden permitirnos configurar aspectos más o menos interesantes del sistema operativo.

Nota: Como indico en el margen izquierdo de este blog, toda la información que no está documentada por Microsoft es muy susceptible de cambiar e incluso de desaparecer en versiones posteriores de Windows. Este es el caso particular de esta rama del Registro, pues no es tenida en cuenta en Windows 7. Adicionalmente, deberá tomar las medidas oportunas si aplica este tip en un entorno de producción, pues de seguro se trata de un parámetro que no está tan probado como el resto de personalizaciones conocidas en el sistema operativo.

Nuevo artículo sobre el proceso Explorer.exe

dmartin — Sat, 11 Apr 2009 02:26:00 GMT

He añadido a mi página web un artículo que explica lo que ocurre cuando se ejecuta el comando Explorer.exe tanto sin parámetros como con parámetros, en sistemas XP y Vista. Se incluye toda la casuística, lista completa de parámetros soportados, cómo forzar la creación de un nuevo proceso, etc. El artículo lo puede leer en la dirección http://winvista.mvps.org/Tema.aspx?ID=233

Cualquier duda o sugerencia la puede hacer llegar a través de la sección de comentarios de esta entrada o mediante el enlace Contact de la parte izquierda del blog.

Problemas con la inicialización de Explorer.exe (II)

dmartin — Wed, 17 Sep 2008 21:07:00 GMT

Completando mi artículo anterior sobre problemas durante la inicialización de Explorer.exe, este artículo se centrará en otra posible causa del problema: una infección de virus.

Es posible que se encuentre con un sistema con los siguientes síntomas: Al iniciar el sistema, no aparece ni el escritorio ni la barra de tareas. Al abrir Administrador de tareas, hacer clic sobre Archivo, Nueva tarea y tratar de ejecutar Explorer.exe no ocurre nada, al menos aparentemente. Digo aparentemente porque es posible que un virus haya modificado el registro de tal forma que al intentar ejecutar Explorer.exe se esté ejecutando un componente malicioso del virus. Este artículo tratará una posible vía de infección.

La clave de registro Image File Execution Options

En mi anterior blog tengo algo de información sobre los pasos que realiza la función CreateProcess antes de "dar a luz" al correspondiente proceso hijo en Windows NT. En dicho artículo me centré únicamente en la parte que tiene que ver con la compatibilidad con sistemas anteriores mediante la aplicación de shims. En Windows Vista la creación de procesos ha variado de manera muy considerable con respecto a Windows XP. Si le interesa saber los detalles sobre esto, reserve una copia de la quinta edición del libro "Windows Internals", donde se explican éste y otros aspectos.

En Windows existe la posibilidad de ejecutar un proceso directamente en un depurador, y una de las formas de conseguir esto es mediante la clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Dicha clave puede contener una subclave con el mismo nombre que el proceso que quiere depurar y, dentro de ésta, un valor alfanumérico Debugger que indique qué depurador se quiere utilizar. Dos usos prácticos de esta clave de Registro son:

Depurar procesos críticos del sistema operativo, como Lsass.exe o Winlogon.exe. Para ello lo que se suele hacer es agregar la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winlogon.exe y, dentro de ella, crear un valor alfanumérico de nombre Debugger cuyo contenido sea por ejemplo "C:\Depuradores\ntsd.exe -d -g -G" Con esto, cada vez que el sistema ejecute Winlogon.exe vamos a añadir el depurador NT Symbolic Debugger, Ntsd. (La última versión está disponible en el paquete Debugging Tools for Windows).
Process Explorer emplea esta clave de registro cuando se hace uso de la opción que permite reemplazar Administrador de tareas por Process Explorer (algo bastante recomendable, por cierto). Así logra que cuando el sistema trate de ejecutar Taskmgr.exe (el ejecutable de Administrador de tareas), Process Explorer se ejecute en su lugar.

El software malicioso también hace uso de esta clave

Los autores de software malicioso pronto se dieron cuenta de las enormes posibilidades que ofrece esta clave de Registro y comenzaron a crear código malicioso que se agregara a dicha clave con nombres de ejecutables legítimos del sistema operativo, como el caso de Explorer.exe que nos ocupa. En concreto, un usuario afectado tenía en su sistema la clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer, y dentro de ella, un valor Debugger con contenido "C:\Archivos de programa\Microsoft Common\Wuauclt.exe". Lo que se consigue con esto es que, cada vez que o bien el usuario o el sistema intente ejecutar Explorer.exe (algo que ocurre naturalmente durante el inicio de sesión), acabe ejecutándose ese tal ejecutable C:\Archivos de programa\Microsoft Common\wuauclt.exe, que es un troyano. Por la información que he recabado de diversas empresas de seguridad, parece formar parte de los últimamente tan populares virus del tipo "Autorun", es decir, los que infectan unidades USB y agregan ficheros ocultos Autorun.inf que apuntan a código malicioso. La documentación que he encontrado indica también que hay variantes rootkit de este tipo de virus.

Cómo solucionar el problema

La solución en este caso consiste en pasar primero un antivirus actualizado al sistema. De todas formas, la desinfección raramente es completa tras el análisis de un único antivirus. Bien porque sus firmas no son capaces de detectar el virus (ningún antivirus es efectivo al 100%), bien porque el entorno infectado impide la actuación correcta del antivirus. En estos casos se puede probar con otro antivirus (una segunda opinión), o bien abordar una desinfección manual. No comentaré en detalle los detalles de una desinfección manual entre otros motivos porque no soy experto en la eliminación de malware y además cada malware emplea sus trucos para pasar desapercibido de cara al usuario. Mi recomendación en estos casos es hacer uso de las herramientas Autoruns y Process Explorer iniciando el sistema en Modo seguro.

Prevención

Las infecciones de virus se aprovechan en gran medida de los privilegios del usuario infectado. En la mayoría de casos, al menos en sistemas XP, estos privilegios son administrativos, por lo que los daños pueden ser catastróficos. Mis recomendaciones para evitar este tipo de infecciones son las ya conocidas:

Utilizar una cuenta de usuario limitado para el trabajo cotidiano con el PC.
Mantener actualizado el sistema operativo desde Windows Update.
Activar un antivirus y un cortafuegos y mantenerlos al día.
Desconfiar del software que provenga de fuentes no oficiales.

Resumen

Dejo finalmente un resumen con los posibles problemas de inicialización de Explorer.exe. Recuerde los síntomas: El sistema llega a la pantalla de bienvenida o de inicio de sesión pero, una vez el usuario se ha autenticado correctamente, solo se muestra un escritorio vacío, sin iconos, sin barra de tareas.

Si al iniciar manualmente Explorer.exe desde Administrador de tareas (Ctrl+Alt+Supr, menú Archivo, Nueva tarea) todo funciona correctamente

Causa 1: Virus. Leer este artículo.

Si al iniciar manualmente Explorer.exe desde Administrador de tareas (Ctrl+Alt+Supr, menú Archivo, Nueva tarea) sigue fallando

Causa 1: Virus. Leer este mismo artículo para intentar localizar dónde está el componente malicioso que está interfiriendo con la carga del proceso Explorer.exe
Causa 2: Explorer.exe o algún componente relacionado con su carga está dañado o mal registrado. Este artículo ofrece pautas para depurar el problema.

Problemas con la inicialización de Explorer.exe

dmartin — Mon, 04 Aug 2008 14:39:00 GMT

Uno de los problemas más frustrantes para un usuario es que su sistema no consiga iniciarse correctamente. En general estamos acostumbrados a trabajar con una máquina "más o menos operativa", pero cuando nos encontramos con un sistema que no llega al escritorio de Windows, empiezan a sonar las alarmas y la palabra "formateo" ronda nuestra cabeza. Este artículo intentará evitar que esto sea así.

El proceso de arranque de Windows es un proceso complejo que va desde la carga del sector de arranque de la partición del sistema hasta la aparición del escritorio de Windows y la barra de tareas. Este artículo se centrará en la parte final de este proceso: la carga del shell del sistema operativo (típicamente Explorer.exe) y cómo abordar un problema de inicialización del mismo.

El proceso de inicialización de Explorer.exe podría decirse que consta de tres fases bien diferenciadas: Una fase inicial en la que se prepara el shell, otra fase central en la que se crea el escritorio y la barra de tareas (esta es la fase principal), y otra fase de postinicialización que se inicia una vez que tenemos el escritorio, los iconos y la barra de tareas en pantalla. Obviamente un fallo en alguna de las dos primeras fases va a derivar en que el sistema solo muestre un escritorio vacío en el que no podremos hacer nada más. Este artículo se centra sólo en las dos primeras fases por ser en las que influyen en que un sistema no muestre ni barra de tareas ni escritorio.

Fase de preinicialización

Una cosa que no mucha gente sabe es que Explorer.exe admite parámetros. Si ejecutamos Explorer.exe /separate, le estamos diciendo al sistema que debe ejecutar obligatoriamente una nueva instancia de Explorer.exe. Por lo regular, Explorer.exe se ejecuta sin parámetros, como así indica la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, valor Shell. Una de las primeras cosas que se realizan en esta fase es la creación (si no existiera ya) de la clave de Registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer. En ella se almacenan la mayoría de parámetros de configuración que tienen relación con la interfaz gráfica.

Posteriormente, tiene lugar la inicialización la tecnología de comunicación DDE (Dynamic Data Exchange), que pese a ser ya bastante antigua, se usa aún en algunas partes del shell, como la parte relacionada con las asociaciones de ficheros. Se establece en este momento el orden de apagado de Explorer.exe: Ante un apagado o un reinicio de la máquina, Explorer.exe terminará su ejecución en último o penúltimo lugar, dependiendo de si hay algún depurador en la máquina en ese mismo momento. Seguidamente se inicializa la cache de iconos, proceso explicado en uno de los artículos anteriores.

Quizá el momento más importante de esta fase es la ejecución automática de los programas presentes en la clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce. Estos programas se ejecutan, como su propio nombre indica, una sola vez: en el momento que un usuario con privilegios administrativos inicie sesión en la máquina. Hay un programa encargado de realizar este proceso: C:\Windows\system32\Runonce.exe. Se llama al comando "Runonce.exe /Explorer", el cual, si el usuario es administrador del equipo, se encarga de ejecutar el contenido de la clave RunOnce (que por lo regular son fases finales de la instalación de algún programa). Quizá se pregunte qué es lo que ocurre en Windows Vista, en el que todo intento de elevación de privilegios es bloqueado según el artículo KB930367. La clave RunOnce es una excepción de la regla (tenga en cuenta que sólo un proceso que haya elevado sus privilegios ha sido capaz de escribir en la clave RunOnce, por lo que esto no es ninguna vulnerabilidad). También es posible desactivar la ejecución de la rama RunOnce mediante la siguiente política: DisableLocalMachineRunOnce.

Por último, se crean (si no existieran ya), tres de las carpetas del perfil de usuario relacionadas con el shell: C:\Users\Usuario\Desktop, C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Start Menu y C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs.

Fase de inicialización del escritorio y la barra de tareas

Esta es la fase crucial. Cualquier fallo que ocurra en esta fase (y en la anterior, pero según mi experiencia es menos probable que esto ocurra) significará que Explorer.exe terminará abruptamente y no verá nada en pantalla, nada más que su escritorio sin ningún icono. Si se encuentra en una situación como ésta, primero abra Administrador de tareas pulsando Ctrl+Alt+Supr e intente ejecutar el proceso Explorer.exe. Si se ejecutara correctamente, más que seguramente se trate de un virus que ha modificado la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. En mi anterior blog tengo unas instrucciones al respecto. Si al ejecutar Explorer.exe observa que el proceso aparece un instante para luego desaparecer, primeramente intente un inicio limpio de Windows: inicie el sistema en Modo seguro y compruebe si persiste el problema. Si en Modo seguro todo funcionara correctamente, vaya añadiendo elementos al inicio mediante Msconfig hasta dar con el culpable. Hay un caso en el cual detecté que el servicio Shell Hardware Detection puede ser el culpable (en tal caso, lo que ocurre es que si espera unos 3 ó 4 minutos observa que el shell se inicia correctamente). El artículo KB913630 explica el problema, pero solo ofrece un workaround.

Si nada de lo anterior le diera resultado, es posible que se encuentre ante un problema con alguno de los componentes encargado de crear el escritorio y la barra de tareas. Explorer.exe se apoya en multitud de clases COM en su mayoría presentes en librerías de Internet Explorer (como Browseui.dll, por ejemplo). Es por ello que algún que otro artículo antiguo de la KB recomendaba reinstalar Internet Explorer como medida de corrección. El problema es que las últimas versiones de Internet Explorer están más y más separadas de lo que es el shell del sistema, por lo que una reinstalación de Internet Explorer probablemente no solucione el problema. ¿Cómo detectar dónde está, pues, el fallo?

Según mi experiencia, un altísimo número de problemas con la interfaz gráfica se deben a que el método CoCreateInstance de Ole32.dll falla por algún motivo. Este motivo suele ser que la clase correspondiente no está registrada en el Registro del sistema. Una manera de abordar este problema es adjuntar Process Monitor al proceso en cuestión (en nuestro caso Explorer.exe) y filtrar por resultado "NAME NOT FOUND". Nótese que no todas las entradas que se indiquen como "NAME NOT FOUND" son posibles causantes del problema; en muchas ocasiones un proceso busca una determinada clave en el Registro y, en caso de no encontrarla, establece valores por defecto para esa configuración. En este artículo se describe una manera en la que abordé el problema de un usuario usando Windbg:

Ejecute el programa Explorer.exe desde dentro de Windbg e introduzca este comando:

0:000> bp ole32!CoCreateInstance "dt ntdll!_GUID poi(@esp+4);gu;j (@eax & 0x0`ffffffff) = 0x0`80040154 '';'gc'"

No se asuste, este comando lo que hace es crear un punto de ruptura (breakpoint) cada vez que alcancemos la función CoCreateInstance. Seguidamente nos muestra el contenido de su primer parámetro (el CLSID implicado), y avanza hasta el retorno de la función (con gu). En este momento, la instrucción condicional j compara el contenido del registro EAX (donde se almacena el retorno de la función) con el valor 0x80040154, que según MSDN quiere decir REGDB_E_CLASSNOTREG. Si lo encuentra, detenemos la depuración; si no, seguimos adelante.

Ejecutamos el proceso y vemos lo siguiente:

0:000> g ModLoad: 5cf60000 5cf86000 C:\WINDOWS\system32\ShimEng.dll ModLoad: 6fdb0000 6ff7a000 C:\WINDOWS\AppPatch\AcGenral.DLL ModLoad: 76b00000 76b2e000 C:\WINDOWS\system32\WINMM.dll ModLoad: 77bb0000 77bc5000 C:\WINDOWS\system32\MSACM32.dll ModLoad: 76630000 766e5000 C:\WINDOWS\system32\USERENV.dll ModLoad: 76340000 7635d000 C:\WINDOWS\system32\IMM32.DLL ModLoad: 773a0000 774a3000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ModLoad: 74dc0000 74e2d000 C:\WINDOWS\system32\RichEd20.dll ModLoad: 58c30000 58cca000 C:\WINDOWS\system32\comctl32.dll ModLoad: 746b0000 746fc000 C:\WINDOWS\system32\MSCTF.dll ModLoad: 75160000 7518e000 C:\WINDOWS\system32\msctfime.ime ModLoad: 77b10000 77b32000 C:\WINDOWS\system32\appHelp.dll {750fdf0e-2a26-11d1-a3ea-080036587f03} +0x000 Data1 : 0x750fdf0e +0x004 Data2 : 0x2a26 +0x006 Data3 : 0x11d1 +0x008 Data4 : 8 "???" ModLoad: 76f90000 7700f000 C:\WINDOWS\system32\CLBCATQ.DLL ModLoad: 77010000 770e0000 C:\WINDOWS\system32\COMRes.dll ModLoad: 779f0000 77a45000 C:\WINDOWS\System32\cscui.dll ModLoad: 765b0000 765cd000 C:\WINDOWS\System32\CSCDLL.dll ModLoad: 58e40000 58e65000 C:\WINDOWS\system32\desk.cpl {b12ae898-d056-4378-a844-6d393fe37956} +0x000 Data1 : 0xb12ae898 +0x004 Data2 : 0xd056 +0x006 Data3 : 0x4378 +0x008 Data4 : 8 "???" ModLoad: 5ba10000 5ba83000 C:\WINDOWS\system32\themeui.dll ModLoad: 76330000 76335000 C:\WINDOWS\system32\MSIMG32.dll {4c892621-6757-4fe0-ad8c-a6301be7fba2} +0x000 Data1 : 0x4c892621 +0x004 Data2 : 0x6757 +0x006 Data3 : 0x4fe0 +0x008 Data4 : 8 "???" ModLoad: 01110000 013e6000 C:\WINDOWS\system32\xpsp2res.dll {ecd4fc4d-521c-11d0-b792-00a0c90312e1} +0x000 Data1 : 0xecd4fc4d +0x004 Data2 : 0x521c +0x006 Data3 : 0x11d0 +0x008 Data4 : 8 "???" eax=80040154 ebx=00000000 ecx=00000000 edx=80040154 esi=000ee4a0 edi=001a009c eip=01017362 esp=0146f66c ebp=0146f674 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 explorer!BandSite_CreateView+0x3b: 01017362 85c0 test eax,eax

Marcadas en negrita están las clases CLSID pasadas como primer parámetro a CoCreateInstance. El depurador se detuvo en este caso en la función BandSite_CreateView, que es parte de la creación de la barra de tareas. Como ve, el CLSID es {ecd4fc4d-521c-11d0-b792-00a0c90312e1}, así que inmediatamente sospeché que la clave HKEY_CLASSES_ROOT\CLSID\{ecd4fc4d-521c-11d0-b792-00a0c90312e1} faltaba o estaba dañada. Mis sospechas se confirmaron:

0:004> !dreg hkcr\clsid\{ecd4fc4d-521c-11d0-b792-00a0c90312e1} Could not open subkey clsid\{ecd4fc4d-521c-11d0-b792-00a0c90312e1}. Error (2). No subkeys

Al importar dicha clave desde un sistema que funcionaba correctamente, el usuario logró solucionar su problema con Explorer sin necesidad de reinstalar Windows.

Quizá este escenario de depuración no sea aplicable a su caso, pero seguramente le habrá dado un punto de partida para enfrentarse a este tipo de problemas sin necesidad de reinstalar ni de instalar en limpio el sistema operativo.