|
Nombre en inglés: Distributed Link Tracking Client
Nombre de Windows: TrkWks
Archivos asociados: trkwks.dll
Ruta del
ejecutable: WINDOWS\system32\svchost.exe
-k netsvcs
Uso del servicio: si
movemos archivos enlazados (“linked”) de una partición NTFS a otra partición
NTFS, ya sea dentro del mismo ordenador o a otro ordenador (por ejemplo, si
estamos en un dominio), este servicio se encarga de mantener esos enlaces o
vínculos. Si creamos un acceso directo a un archivo en un volument NTFS y ese
archivo origen es movido de localización, este servicio se encarga (asignándole
al archivo origen un único identificador
de objeto ID) de que el acceso directo siga siendo utilizable y que apunte
al mismo archivo origen. Este seguimiento no se hace en ningún medio removible,
aunque esté formateado en NTFS.
Parte de la información de este
servicio (el proceso de seguimiento de los vínculos) se guarda en un archivo
llamado tracking.log. Ver la sección
“Comentarios” para ver cómo acceder a él.
¿Establece una conexión o escucha tras algún puerto?: No.
Estado: Iniciado y en Automático tanto en XP
Prof como en XP Home (así es como está por defecto tras la instalación de SP2).
¿Inicia en alguna cuenta?:
Se ejecuta en la Cuenta
del Sistema Local (ver esto).
Depende de: este servicio
depende del servicio (el cual también depende de otros, ver su ficha
correspondiente) Llamada a procedimiento
remoto (RPC).
Servicios que dependen de este
servicio: ningún servicio depende de este servicio.
Ubicación en el registro de
Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkVks
En el valor ImagePath (que aparece al pinchar sobre la clave anterior) debe
haber %SystemRoot%\system32\svchost.exe -k netsvcs. Debe ser de tipo
REG_EXPAND_SZ.
En la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkVks\Parameters
el valor ServiceDll (que aparece al
pinchar sobre la subclave anterior) debe tener %SystemRoot%\system32\trkwks.dll
y ser de tipo REG_EXPAND_SZ.
Archivo reg para reparar el
servicio: para XP Home, pinchar aquí; para Prof, pinchar aquí.
Comentarios: como ocurre con otros archivos de Windows, hay virus que
usan el nombre de este servicio. Por ejemplo, el troyano Backdoor.Fuwudoor. Concretamente, registra un servicio llamado
también TrkWks, pero con la ruta:
%Windir%\system32\svchost.exe -k
TrkWks
(hay
que tener en cuenta que la ruta nativa del servicio acaba en netsvcs y no en TrkWks).
Como se ha comentado, parte de la
información de este servicio se guarda en el archivo llamado trackin.log. Este archivo está alojado
en una carpeta llamada System Volume
Information y que se encuentra en
el directorio raíz. Esta carpeta no es por defecto accesible, ni siquiera a un
usuario administrador (de hecho, si vemos sus propiedades, el sistema nos dirá
que tiene 0 bytes, aun teniendo cosas). Para verla, hay que lograr ver los
archivos y carpetas ocultos del sistema. Para ello puede consultarse esta FAQ.
También será necesario ver la pestaña “Seguridad” al hacer click con el botón
derecho sobre dicha carpeta. Esto se hace consultando la siguiente FAQ. Una vez cumplamos estos dos requisitios, click derecho sobre System Volume Information, pestaña
“Seguridad”, y en “Nombre de grupos o usuarios” añadimos nuestro usuario
administrador y abajo le damos permisos de lectura (o los que queramos). Con
eso conseguiremos ver el archivo tracking.log.
Trackback(0)
 |
TrackBack URI para esta entrada
RSS feed Comments