Microsoft ProcMon - Prosessimonitori Linuxille

Isaac

6 minuuttia

Windows- ja Linux-logot, ProcMon

Microsoft halusivat myydä, että heillä on niin epävarma rakkaus Linuxia kohtaan, itse asiassa he ovat myötävaikuttaneet ytimen kehittämiseen integroimaan esimerkiksi HyperV: nsä. Lisäksi, kuten hyvin tiedätte, he ovat Linux Foundationin jäseniä, ja he ovat ostaneet kuuluisan avoimen lähdekoodin alustan GitHub. Tähän on lisättävä, että jotkut ohjelmat, kuten Edge, PowerShell, ProcMon jne., Kantavat avointa FAT-ohjelmaa myös GNU / Linuxissa käytettäviksi tai että he ovat integroineet Linux-alijärjestelmän Windows 10: een ...

Mutta varokaa älä sekoita rakkautta kiinnostukseen, ja mikä ajaa Microsoftia, on puhdas kiinnostus. Kaikista noista eleistään huolimatta se on edelleen yritys, joka hakee voittoja ja etsii niitä aina. Jos se tarkoittaa siirtymistä lähemmäksi Linuxia, se tulee, ja jos se tarkoittaa siirtymistä pois, se myös. Älä epäröi.

Tausta

Windows 95 logo

En tiedä, tiedätkö, että Microsoft on testannut joitain niistä myyttiset Windows 95 -ominaisuudet Windows 10. Viimeisimmästä Redmond-käyttöjärjestelmästä on tullut eräänlainen rullaava julkaisu, jolla he tekevät joitain tällaisia ​​kokeita, joista heidän käyttäjät saattavat pitää enemmän tai vähemmän.

Jotkut ohjelmat Windows 95 on pelastettu tänään, koska niiden merkitys on kasvamassa. Esimerkiksi Image Resizer, joka olisi erittäin käytännöllinen sosiaalisiin verkostoihin lähetettäville kuville jne. Lyhyesti sanottuna hän aikoo tuoda sarjan hänen PowerToy nykyaikaiseen järjestelmäänsä joitakin parannuksia ja mukautuksia uuteen aikaan.

keskuudessa PowerToy-apuohjelmat Ne ovat:

  • FancyZones
  • Image Resizer
  • Näppäimistönhallinta
  • PowerRename
  • ja niin edelleen

No, sen lisäksi on joitain muita avoimen lähdekoodin työkaluja että Microsoftilla on GitHubissa ja jotkut niistä myös GNU / Linuxissa.

ProcMon tai Process Monitor

Prosessin valvonta Windows

Toinen työkalu, josta Microsoft on julkaissut lähdekoodinsa ja sinulla on se GitHubissa, on Process Monitor tai ProcMon. Paljon nykyaikaisempi Windows-apuohjelma, jota käytetään seuraamaan ja näyttämään Microsoft Windows -käyttöjärjestelmän toimintaa reaaliajassa, erityisesti lukemalla toimintaa Windowsin rekisteristä.

varsinkin mielenkiintoinen sysadmins, rikostekniset ja debuggers. Tehtäviin, jotka voivat vaihdella yksinkertaisesti järjestelmän toiminnan tuntemisesta, epäonnistuneisiin pääsyyrityksiin (luku / kirjoitus) rekisteriavaimissa ongelmien havaitsemiseen, suodattamiseen avainten, prosessien, tunnuksen tai tiettyjen arvojen perusteella etsimisen etsimiseen , tietää ohjelmistosovellusten käyttämien dynaamisten DLL-kirjastojen käytön, havaitsee FS- tai tiedostojärjestelmävirheet jne.

Tämä apuohjelma oli kahden vanhan työkalun yhdistämisen tulos joita Microsoft on aiemmin käyttänyt ja joita kutsutaan:

  • FileMon- luoneet kaksi NuMega Technologiesin työntekijää Mark Russinovich ja Bryce Cogswell. Myöhemmin siitä tuli SysInternals, ja Microsoft osti sen vuonna 2006. Sen nimi on File + Monitorin supistuminen, ja nimensä mukaan se on omistettu tiedostojärjestelmän toiminnan seurannalle.
  • RegMo: hänen kaksoissiskollaan on sama alkuperä. Tässä tapauksessa se oli tarkoitettu oikeuslääketieteelliseen analyysiin käyttämällä Windowsin rekisterin tietoja. Sen nimi tulee Registry + Monitorin supistumisesta.

Yhdistämisen jälkeen ProcMon vapautetaan Windows 2000: lle ensimmäistä kertaa ja sitten Windows XP SP2: lle, jotta sitä päivitetään myöhemmille versioille. Mutta huolimatta siitä, että se on ilmainen, se ei ollut avoin lähdekoodi tähän asti.

ProcMon Linuxille

Saatat ajatella, miksi minä kerron sinulle kaiken tämän, eikä sillä ole mitään tekemistä Linuxin kanssa, vaikka se onkin avattu. Mutta totuus on, että näin ei ole, koska on olemassa versio ProcMon on saatavana myös Linuxille. Siksi, jos haluat ja haluat kokeilla tätä työkalua myös GNU / Linux-distroosi, voit nyt.

ProcMon on klassisen ProcMonin uusi mukautus Sysinternals alkuperäinen. Tämän tarkoituksena on tarjota kehittäjille tehokas tapa seurata tai jäljittää järjestelmäkutsujen (syscallien) toimintaa. Mutta tietysti Linuxissa ei ole Windows-tyyppistä rekisteriä, joten se ei ole yksinkertainen portti, ja siksi sinun on käytettävä BCC: tä (BPF Compiler Collection) eli työkalupakettia tai työkaluryhmää ohjelmien käsittely ja jäljitys Linux-ytimelle.

Lisäksi Microsoft on julkaissut koodin GitHub MIT-lisenssillä. Muuten, lähdekoodi, joka kirjoitetaan C ++ - ohjelmointikielellä.

Asenna ProcMon

Ensinnäkin, ensimmäinen asia on asenna ProcMon suosikkidistrossasi. Sinun pitäisi tietää, että sillä on joukko riippuvuuksia, jotka sinun on täytettävä etukäteen. Lisäksi, vaikka koodisivu puhuu vain Ubuntusta, se saattaa toimia myös muissa distroissa.

Ensimmäinen asia on tyydyttää riippuvuudet joita on periaatteessa kolme:

  • BCC (BPF-kääntäjäkokoelma)
  • cmake (koodin rakentamiseksi)
  • libsqlite3-dev (SQL-tietokantamoottori)

Voit tehdä tämän, voit Suorita seuraavat komennot:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Silloin meillä olisi jo riippuvuuksia, seuraava olisi tehtävä ProcMon itse:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Jos haluat, voit myös rakentaa DEB-paketti ProcMon Ubuntussa yksinkertaisella tavalla:

cd build
cpack ..

Käytä ProcMonia

Kun se on asennettu, seuraava on alkaa nauttia tästä työkalusta. Sen käyttö on melko yksinkertaista, koska sillä ei ole valtavasti vaihtoehtoja. Sinun on myös pidettävä mielessä, että se tarvitsee etuoikeuksia, joten sinun on suoritettava se root-tiedostona tai, parempi, sudon edessä.

La ProcMon-syntakse käyttää sitä terminaalista on:

procmon [opciones]

jossa [vaihtoehdot] tulee olemaan joitain näistä:

  • -ho –apu: näytä ohjelman apu.
  • -p tai –pids: ilmaisee pilkuilla erotetut prosessit, joita haluat seurata. Voit käyttää vain yhtä. Se määritetään sen tunnuksella, eli numerolla.
  • -eo –events: pilkuilla erotettu luettelo järjestelmäpuheluista, joita haluat seurata. Voit käyttää vain yhtä. Sinun on määritettävä ne nimellä.
  • -co –collect / path / file: Käynnistä Procmon Headless-tilassa. Eli ilman käyttöliittymän ominaisuuksia, jotka näet edellisessä GIF: ssä. Erittäin käytännöllinen tila joillekin testeille tai käsikirjoitetuille automaatioille. Polku määrittää tiedoston, johon komennon kaikki toiminnot tallennetaan, jotta voit myöhemmin nähdä ne.
  • -fo –file / polku / tiedosto: suorita ProcMon tiettyjen tiedostojen kartoittamiseksi.
  • Ei vaihtoehtoja: Käynnistä sitten ProcMon ja se näyttää kaikki käynnissä olevat prosessit ja syscalls järjestelmässä.
  • Yhdistetty: useita vaihtoehtoja voidaan yhdistää ongelmitta.

Jos haluat käytännön esimerkkejä, näet nämä suoritusesimerkit:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Fernando dijo
    sitten 4 vuotta

    Olen käyttänyt sitä Windowsissa sen ilmestymisen jälkeen. Ja vuosia sitten vastaavia työkaluja oli paljon.
    Mutta tämä oli yksinkertainen suoritettava tiedosto, yksinkertainen ja käytännöllinen ..

    Katsotaanpa, miten se menee Linuxissa.

    Vastaa Fernandolle