Microsoft ProcMon - protsessimonitor Linuxile

Isaac

6 minutit

Windowsi ja Linuxi logod, ProcMon

Microsoft tahtsid müüa, et neil on selline ebakindel armastus Linuxi vastu, tegelikult on nad andnud oma panuse kerneli arengusse, et integreerida näiteks nende HyperV. Lisaks, nagu te hästi teate, on nad Linux Foundationi liikmed ja nad on ostnud kuulsa avatud lähtekoodiga platvormi GitHub. Sellele peame lisama, et mõned programmid, nagu Edge, PowerShell, ProcMon jne, kannavad avatud FAT-i ka GNU / Linuxis kasutamiseks või et nad on oma Windows 10-sse integreerinud Linuxi alamsüsteemi ...

Kuid ole ettevaatlik ära aja armastust segamini huvigaja see, mis Microsofti ajendab, on puhas huvi. Hoolimata kõigist žestidest, mida ta on teinud, otsib see ikkagi kasumit ja otsib seda alati. Kui see tähendab liikumist Linuxile lähemale, saab see nii ja kui see tähendab ka kaugenemist, siis ka. Ärge kartke.

Taust

Windows 95 logo

Ma ei tea, kas teate, et Microsoft on mõnda neist testinud müütilised Windows 95 funktsioonid Windows 10. Viimasest Redmondi operatsioonisüsteemist on saanud omamoodi jooksev versioon, millega nad teevad selliseid katseid, mis nende kasutajatele rohkem või vähem meeldida võivad.

Mõned neist programmid Windows 95 on täna päästetud, kuna nende tähtsus on nüüd järjest kasvamas. Näiteks Image Resizer, mis oleks väga praktiline piltide jaoks, mis tuleb postitada sotsiaalvõrgustikesse jne. Lühidalt, ta kavatseb tuua rea ​​oma PowerToys oma kaasaegsele süsteemile koos mõningate täiustuste ja kohandustega uude aega.

hulgast PowerToy utiliidid on:

  • FancyZones
  • pildi suuruse muutmine
  • Klaviatuurihaldur
  • PowerRename
  • ja nii edasi

Noh, peale selle on veel mõned avatud lähtekoodiga tööriistad mis Microsoftil on GitHubis ja mõned neist ka GNU / Linuxi jaoks.

ProcMon või protsessimonitor

Protsessimonitor Windows

Teine tööriist, millest Microsoft on oma lähtekoodi välja andnud ja teil on see GitHubis, on Protsessimonitor või ProcMon. Windowsi jaoks palju kaasaegsem utiliit, mida kasutatakse Microsofti Windowsi operatsioonisüsteemi aktiivsuse jälgimiseks ja kuvamiseks reaalajas, täpsemalt Windowsi registrist pärit tegevuse lugemiseks.

Eriti huvitav sysadmins, kohtuekspertiisi ja silumine. Ülesannete jaoks, mis võivad ulatuda lihtsalt süsteemi tegevuse tundmisest, kuni ebaõnnestunud juurdepääsukatseteni (lugemine / kirjutamine) registrivõtmetes probleemide tuvastamiseks, filtreerimine võtmete, protsesside, ID või konkreetsete väärtuste järgi otsitava leidmiseks , teadma tarkvararakenduste kasutatavate dünaamiliste DLL-teekide kasutamist, tuvastama FS-i või failisüsteemi vigu jne.

See utiliit oli kahe vana tööriista ühendamise tulemus mida Microsoft varem kasutas ja mida nimetatakse:

  • FileMon- Loovad kaks NuMega Technologies töötajat Mark Russinovich ja Bryce Cogswell. See muudeti hiljem SysInternalsiks ja selle ostis Microsoft 2006. aastal. Selle nimi on File + Monitori kokkutõmbumine ja nagu nimigi ütleb, on see pühendatud failisüsteemi tegevuse jälgimisele.
  • RegMon: tema kaksikõel on sama päritolu. Antud juhul oli see suunatud kohtuekspertiisi analüüsile, kasutades Windowsi registri andmeid. Selle nimi tuleneb Registry + Monitori kokkutõmbumisest.

Pärast üheks ühendamist vabastatakse ProcMon esimest korda Windows 2000 jaoks ja seejärel Windows XP hoolduspaketi SP2 jaoks, et seda saaks järgmiste versioonide jaoks värskendada. Kuid hoolimata sellest, et see on vabavara, see nii ei olnud avatud lähtekoodiga kuni praeguseni.

ProcMon Linuxile

Võite mõelda, et miks ma teile seda kõike räägin ja et sellel pole Linuxiga midagi pistmist, kuigi see on avatud. Kuid tõsi on see, et see pole nii, kuna on olemas versioon ProcMon on saadaval ka Linuxi jaoks. Seega, kui soovite ja soovite seda tööriista proovida ka oma GNU / Linuxi distributsioonis, saate nüüdsest seda teha.

ProcMon on klassikalise ProcMoni uus mugandus Sysinternals originaal. Selle eesmärk on pakkuda arendajatele tõhusat viisi süsteemikõnede (syscallide) tegevuse jälgimiseks või jälgimiseks. Muidugi pole Linuxis Windowsi stiilis registrit, seega pole see lihtne port, seetõttu peate selleks kasutama BCC-d (BPF Compiler Collection), st tööriistakomplekti või tööriistade rühma programmide manipuleerimine ja jälitamine Linuxi kerneli jaoks.

Lisaks on Microsoft selle koodi välja andnud GitHub MIT litsentsi alusel. Muide, lähtekood, mis on kirjutatud C ++ programmeerimiskeelt kasutades.

Installige ProcMon

Alustuseks on esimene asi installige ProcMon oma lemmikdroos. Peaksite teadma, et sellel on rida sõltuvusi, mida peate eelnevalt rahuldama. Kuigi koodileht räägib ainult Ubuntust, võib see töötada ka teistes distros.

Esimene asi, mida teha, on rahuldada sõltuvusi mis on põhimõtteliselt kolm:

  • BCC (BPF kompilaatori kogu)
  • cmake (koodi loomiseks)
  • libsqlite3-dev (SQL-i andmebaasimootor)

Selleks saate käivitage järgmised käsud:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Sellega on meil juba sõltuvused olemas, tuleks järgida järgmist ProcMon ise:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Kui soovite, võiksite ka ehitada DEB pakett ProcMon Ubuntu lihtsal viisil:

cd build
cpack ..

Kasutage ProcMoni

Kui olete selle installinud, on järgmine hakake seda tööriista nautima. Selle kasutamine on üsna lihtne, kuna sellel pole tohutult võimalusi. Samuti peate meeles pidama, et see vajab privileege, nii et peaksite seda käivitama root või paremal juhul sudo ees.

La ProcMoni süntaks terminalist kasutamiseks on:

procmon [opciones]

Kus [valikud] on mõned neist:

  • -ho –help: näita programmi abi.
  • -p või –pids: tähistab komadega eraldatud protsesse, mida soovite jälgida. Saate kasutada ainult ühte. See määratakse selle ID-ga, see tähendab numbriga.
  • -eo –events: komadega eraldatud süsteemikõnede loend, mida soovite jälgida. Saate kasutada ainult ühte. Peate need täpsustama nime järgi.
  • -co –collect / path / file: käivitage Procmon peata režiimis. See tähendab, et ilma selle liidese funktsioonideta, mida näete eelmises GIF-is. Mõnede testide või skriptitud automatiseerimiste jaoks väga praktiline režiim. Tee määrab faili, kuhu kogu käsu väljundi tegevus salvestatakse, et saaksite seda hiljem näha.
  • -fo –fail / tee / fail: käivitage ProcMon konkreetse faili kaardistamiseks.
  • Suvandeid pole: seejärel käivitage ProcMon ja see näitab kõiki süsteemis töötavaid protsesse ja süsteeme.
  • Kombineeritud: mitut valikut saab probleemideta ühendada.

Kui soovite mõnda praktilisi näiteid, näete neid täitmisnäiteid:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   Fernando DIJO
    tagasi 4 aastat

    Olen seda Windowsis kasutanud alates selle ilmumisest. Ja aastaid tagasi oli sarnaseid tööriistu palju.
    Kuid see oli lihtne käivitatav fail, lihtne ja praktiline.

    Vaatame, kuidas see Linuxis läheb.

    Vasta Fernandole