Microsoft ProcMon - Process Monitor pour Linux

Microsoft a voulu vendre qu'il a cet amour incertain pour Linux, en fait, ils ont contribué au développement du noyau pour intégrer, par exemple, son HyperV. De plus, comme vous le savez, ils sont membres de la Linux Foundation et ont acheté la célèbre plateforme open source GitHub. A cela il faut ajouter que certains programmes comme Edge, PowerShell, ProcMon, etc. portent, open FAT, également pour une utilisation sous GNU / Linux ou qu'ils ont intégré un sous-système Linux dans leur Windows 10 ...

Mais, oeil ne confondez pas l'amour avec l'intérêt, et ce qui motive Microsoft est un intérêt pur. Malgré tous ces gestes qu'elle a faits, c'est toujours une entreprise qui cherche des profits, et elle les recherchera toujours. Si cela signifie se rapprocher de Linux, il le fera, et si cela signifie s'éloigner, il le sera aussi. N'hésite pas.

fond

Je ne sais pas si vous savez que Microsoft a testé certains de leurs fonctionnalités mythiques de Windows 95 dans Windows 10. Le dernier système d'exploitation de Redmond est devenu une sorte de version évolutive avec laquelle ils font des expériences comme celles-ci que leurs utilisateurs peuvent aimer plus ou moins.

Quelques-uns des les programmes Windows 95 a été sauvé aujourd'hui car il gagne maintenant en importance. Par exemple, Image Resizer, qui serait très pratique pour les images à publier sur les réseaux sociaux, etc. Bref, il compte apporter une série de ses PowerToys à son système moderne avec quelques améliorations et adaptations aux temps nouveaux.

Parmi les Utilitaires PowerToy sont les suivants:

• FancyZones
• Image Resizer
• Gestionnaire de clavier
• PowerRename
• et ainsi de suite

Eh bien, à part ça, il y en a d'autres outils open source que Microsoft a sur GitHub, et certains d'entre eux également pour GNU / Linux.

ProcMon ou Process Monitor

Un autre outil à partir duquel Microsoft a publié son code source et que vous l'avez sur GitHub est Moniteur de processus ou ProcMon. Un utilitaire beaucoup plus moderne pour Windows qui est utilisé pour surveiller et afficher l'activité d'un système d'exploitation Microsoft Windows en temps réel, en particulier la lecture de l'activité à partir du registre Windows.

Spécialement intéressant pour les administrateurs système, la criminalistique et les débogueurs. Pour les tâches qui peuvent aller de la simple connaissance de l'activité du système à des tentatives d'accès infructueuses (lecture / écriture) dans les clés de registre pour détecter les problèmes, filtrer par clés, processus, ID ou valeurs spécifiques pour localiser ce que vous recherchez , connaître l'utilisation des bibliothèques DLL dynamiques utilisées par les applications logicielles, détecter les erreurs de FS ou de système de fichiers, etc.

Cet utilitaire était le résultat de la fusion de deux des anciens outils que Microsoft utilisait précédemment et qui s'appellent:

• Filemon- Créé par Mark Russinovich et Bryce Cogswell, deux employés de NuMega Technologies. Il a ensuite été transformé en SysInternals et acheté par Microsoft en 2006. Son nom est une contraction de File + Monitor et, comme son nom l'indique, il est dédié à la surveillance de l'activité du système de fichiers.
• Regmon: sa sœur jumelle partage la même origine. Dans ce cas, il visait une analyse médico-légale en utilisant les données du registre Windows. Son nom vient de la contraction de Registry + Monitor.

Après avoir été fusionné en un seul, ProcMon serait publié pour la première fois pour Windows 2000, puis pour Windows XP SP2, pour finir par être mis à jour pour les versions ultérieures. Mais en dépit d'être un logiciel gratuit, ce n'était pas open source jusqu'à maintenant.

ProcMon pour Linux

Vous pensez peut-être que c'est pour cela que je vous dis tout cela, et que cela n'a rien à voir avec Linux même s'il a été ouvert. Mais la vérité est que ce n'est pas le cas, car il existe une version de ProcMon également disponible pour Linux. Par conséquent, si vous aimez et souhaitez essayer cet outil également sur votre distribution GNU / Linux, vous pouvez désormais le faire.

ProcMon est une nouvelle adaptation du ProcMon classique Original de Sysinternals. Il s'agit de fournir aux développeurs un moyen efficace de surveiller ou de suivre l'activité des appels système (appels système). Mais bien sûr, sous Linux, il n'y a pas de registre de style Windows, donc ce n'est pas un simple port, c'est pourquoi vous devez utiliser BCC (BPF Compiler Collection), c'est-à-dire une boîte à outils, ou un groupe d'outils, pour la manipulation et le traçage des programmes pour le noyau Linux.

En outre, Microsoft a publié le code dans GitHub sous licence MIT. À propos, un code source qui est écrit en utilisant le langage de programmation C ++.

Installez ProcMon

Pour commencer, la première chose sera installer ProcMon dans votre distribution préférée. Vous devez savoir qu'il a une série de dépendances que vous devez au préalable satisfaire. De plus, bien que la page de codes ne parle que d'Ubuntu, elle peut également fonctionner sur d'autres distributions.

La première chose à faire est satisfaire les dépendances qui sont essentiellement trois:

• BCC (collection de compilateurs BPF)
• cmake (pour construire le code)
• libsqlite3-dev (moteur de base de données SQL)

Pour cela, vous pouvez exécutez les commandes suivantes:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev

git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Avec cela, nous aurions déjà les dépendances, ce qui suit serait d'aller pour ProcMon lui-même:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Si tu veux tu peux aussi construire le package DEB ProcMon dans Ubuntu de manière simple:

cd build
cpack ..

Utilisez ProcMon

Une fois que vous l'avez installé, ce qui suit est commencez à profiter de cet outil. Son utilisation est assez simple, car il ne dispose pas d'une immense quantité d'options. Vous devez également garder à l'esprit qu'il a besoin de privilèges, vous devez donc l'exécuter en tant que root ou, mieux, avec sudo devant lui.

La Syntaxe de ProcMon pour l'utiliser depuis le terminal c'est:

procmon [opciones]

où [options] seront parmi ceux-ci:

• -ho –help: affiche l'aide du programme.
• -p ou –pids: pour indiquer les processus séparés par des virgules que vous souhaitez surveiller. Vous ne pouvez en utiliser qu’un seul. Il sera spécifié par son identifiant, c'est-à-dire un nombre.
• -eo –events: liste séparée par des virgules des appels système que vous souhaitez surveiller. Vous ne pouvez en utiliser qu’un seul. Vous devrez les spécifier par leur nom.
• -co –collect / chemin / fichier: lance procmon en mode sans tête. Autrement dit, sans les fonctionnalités de son interface que vous pouvez voir dans le GIF précédent. Un mode très pratique pour certains tests ou automatisations scriptées. Le chemin spécifiera le fichier dans lequel toute l'activité de la sortie de la commande sera enregistrée afin que vous puissiez le voir plus tard.
• -fo –file / path / file: lance ProcMon pour mapper un fichier spécifique.
• Aucune option: puis démarrez ProcMon et il affichera tous les processus et appels système en cours sur le système.
• Combiné: plusieurs options peuvent être combinées sans problème.

Si vous en voulez exemples pratiques, vous pouvez voir ces exemples d'exécution:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba