Microsoft ProcMon: monitor de processos per a Linux

Isaac

6 minuts

Windows i Linux logos, ProcMon

Microsoft ha volgut vendre que té aquest amor incert per Linux, de fet, han contribuït al desenvolupament de l'nucli per integrar, per exemple, el seu HyperV. A més, com bé saps, són membres de la Linux Foundation, i han comprat la famosa plataforma de codi obert GitHub. A això cal afegir que estan portant alguns programes com Edge, PowerShell, ProcMon, etc., obrir FAT, també per a usar en GNU / Linux o que han integrat un subsistema Linux en la seva Windows 10 ...

Però compte, no s'ha de confondre amor amb interès, I el que mou a Microsoft és pur interès. Malgrat tots aquests gestos que ha fet no deixa de ser una empresa que busca beneficis, i els buscarà sempre. Si això implica acostar-se a Linux ho farà, i si això implica allunyar també ho farà. No ho dubteu.

Antecedents

logotip de Windows 95

No sé si sabràs que Microsoft ha estat provant algunes de les seves funcionalitats mítiques de Windows 95 en Windows 10. L'últim sistema operatiu dels de Redmond s'ha transformat en una mena de rolling release amb el que estan fent alguns experiments com aquests que poden agradar més o menys als seus usuaris.

alguns els programes de Windows 95 han estat rescatats en l'actualitat, ja que ara estan cobrant més importància. Per exemple, Image Resizer, que seria molt pràctica per a les imatges que es tracten per penjar a xarxes socials, etc. En definitiva, pretén portar una sèrie de les seves PowerJoys al seu sistema modern amb algunes millores i adaptacions als nous temps.

Entre les PowerToy Utilities es troben:

  • FancyZones
  • Resizer d’imatges
  • Gestor de teclat
  • PowerRename
  • etcètera...

Doncs bé, a més d'això, hi ha altres eines de codi obert que Microsoft té a GitHub, i algunes d'elles també per a GNU / Linux.

ProcMon o Process Monitor

Process Monitor Windows

Una altra de les eines de les que Microsoft ha alliberat el seu codi font i la tens en GitHub és Process Monitor o ProcMon. Una utilitat bastant més moderna per a Windows que serveix per monitoritzar i mostrar en temps real l'activitat d'un sistema operatiu Microsoft Windows, concretament llegir activitat de l'registre de Windows.

especialment interessant per a administradors de sistemes, forenses i depuració. Per a tasques que poden anar des de simplement conèixer l'activitat de el sistema, fins als intents fallits d'accés (lectura / escriptura) en claus de registre per detectar problemes, filtrar per claus, processos, ID, o valors específics per localitzar el que busques, saber l'ús de biblioteques dinàmiques DLL usades per aplicacions de programari, detectar errors de l'FS o sistema d'arxius, etc.

Aquesta utilitat va ser el resultat de fusionar dues de les antigues eines que Microsoft usava amb anterioritat i que es diuen:

  • Filemon: Va ser creada per Mark Russinovich i Bryce Cogswell, dos empleats de NuMega Tecnologies. Aquesta es va transformar després en Sysinternals i va ser comprada per Microsoft en 2006. El seu nom és una contracció de File + Monitor, i com el seu propi nom indica es dedica a monitoritzar l'activitat de sistema d'arxius.
  • RegMon: La seva germana bessona comparteix el mateix origen. En aquest cas s'orientava a l'anàlisi forense fent ús de les dades de l'registre de Windows. El seu nom prové de la contracció de Registry + Monitor.

Després de la seva fusió en una sola, ProcMon seria llançat per a Windows 2000 per primera vegada i després per a Windows XP SP2, per acabar actualitzant per següents versions. Però tot i ser software gratuït, no era d' codi obert fins ara.

ProcMon per a Linux

Pots pensar que per què t'explico tot això, i que no té res a veure amb Linux tot i que hagi estat oberta. Però la veritat és que no és així, ja que hi ha una versió de ProcMon també disponible per a Linux. Per tant, si t'agrada i vols provar aquesta eina també al teu distro GNU / Linux, des d'ara podràs.

ProcMon és una nova adaptació de el clàssic ProcMon original de Sysinternals. Amb això es pretén dotar els desenvolupadors d'una forma eficient de monitoritzar o traçar l'activitat de trucades a sistema (syscalls). Però clar, en Linux no hi ha un registre a l'estil de Windows, pel que no es tracta d'un simple port, per això s'ha de fer ús de BCC (BPF Compiler Collection), és a dir, un joc d'eines, o grup d'eines , per a la manipulació i tracing de programes per al nucli Linux.

A més, Microsoft ha alliberat el codi a GitHub sota llicència MIT. Per cert, un codi font que està escrit usant llenguatge de programació C ++.

instal·lar ProcMon

Per començar, el primer serà instal·lar ProcMon en el teu distro favorita. Has de saber que té una sèrie de dependències que has de satisfer prèviament. A més, encara que en la pàgina de codi es parla només d'Ubuntu, podria funcionar també en altres distros.

El primer que cal fer és satisfer les dependències que bàsicament són tres:

  • BCC (BPF Compiler Collection)
  • cmake (per construir el codi)
  • libsqlite3-dev (motor per a base de dades SQL)

Per a això, pots executar les següents comandes:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Amb això ja tindríem les dependències, els següent seria anar a per el propi ProcMon:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Si vols, també podries la construcció del paquet DEB de ProcMon en Ubuntu d'una forma senzilla:

cd build
cpack ..

Utilitza ProcMon

Un cop el tens ja instal·lat, el següent és començar a gaudir d'aquesta eina. El seu ús és força senzill, ja que no disposa d'una immensa quantitat d'opcions. També has de tenir en compte que necessita privilegis, per la qual cosa hauries executar sent root o, millor, amb suo davant.

La sintaxi de ProcMon per usar-lo des del terminal és:

procmon [opciones]

on [Opcions] seran algunes d'aquestes:

  • -ho -help: mostra l'ajuda de el programa.
  • -PO -pids: per indicar els processos separats per comes que vols monitoritzar. Podeu fer servir només un. S'especificarà per la seva ID, és a dir, un nombre.
  • -eo -events: llista de trucades al sistema separades per coma que vols monitoritzar. Podeu fer servir només un. Les hauràs d'especificar pel seu nom.
  • -co -collect / ruta / fitxer: s'inicia procmon en headless mode. És a dir, sense els trets de la interfície d'aquest que podeu veure al GIF anterior. Una manera molt pràctic per a algunes proves o automatitzacions amb scripts. La ruta especificar el fitxer on es registrarà tota l'activitat de la sortida de la comanda perquè després puguis veure-la.
  • -fo -file / ruta / fitxer: executa ProcMon per traçar algun arxiu concret.
  • Sense opcions: llavors inicia ProcMon i mostrarà tots els processos i syscalls en marxa en el sistema.
  • Combinat: es poden combinar diverses opcions sense problema.

Si vols alguns exemples pràctics, Pots observar aquests exemples d'execució:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Fernando va dir
    fa 4 anys

    Porto utilitzant-la en Windows des que va sortir. I això que fa anys havia multitud d'eines similars.
    Però aquesta era un simple arxiu executable, senzilla i pràctica ..

    A veure què tal a Linux ..

    Respondre a Fernando