Microsoft ProcMon - Process Monitor voor Linux

Isaac

6 minuten

Windows- en Linux-logo's, ProcMon

Microsoft wilde verkopen dat ze die onzekere liefde voor Linux hebben, in feite hebben ze bijgedragen aan de ontwikkeling van de kernel om bijvoorbeeld hun HyperV te integreren. Zoals je wel weet, zijn ze ook lid van de Linux Foundation en hebben ze het beroemde open source platform GitHub gekocht. Daaraan moeten we toevoegen dat ze een aantal programma's dragen zoals Edge, PowerShell, ProcMon, enz., Open FAT, ook om te gebruiken in GNU / Linux of dat ze een Linux-subsysteem hebben geïntegreerd in hun Windows 10 ...

Maar pas op verwar liefde niet met interesse, en wat Microsoft drijft, is pure interesse. Ondanks al die gebaren die het heeft gemaakt, is het nog steeds een bedrijf dat winst nastreeft en die altijd zal zoeken. Als dat betekent dat je dichter bij Linux moet komen, zal het dat doen, en als dat betekent dat je weg moet gaan, zal het dat ook doen. Aarzel niet.

Achtergrond

Windows 95 logo

Ik weet niet of u weet dat Microsoft een aantal van hun heeft getest mythische Windows 95-functies in Windows 10. Het nieuwste Redmond-besturingssysteem is een soort rollende uitgave geworden waarmee ze enkele experimenten zoals deze doen die hun gebruikers misschien meer of minder leuk vinden.

Een deel van de programma's Windows 95 is vandaag gered, omdat ze nu aan belang winnen. Bijvoorbeeld Image Resizer, wat erg praktisch zou zijn voor afbeeldingen die op sociale netwerken moeten worden gepost, enz. Kortom, hij is van plan een serie van hem mee te nemen PowerToys aan het moderne systeem met enkele verbeteringen en aanpassingen aan de nieuwe tijd.

Onder de PowerToy-hulpprogramma's zijn:

  • FancyZones
  • Image Resizer
  • Toetsenbordbeheer
  • PowerRename
  • enz.

Afgezien daarvan zijn er nog andere open source tools die Microsoft op GitHub heeft, en sommige ook voor GNU / Linux.

ProcMon of Process Monitor

Procesmonitor Windows

Een andere tool waarvan Microsoft de broncode heeft vrijgegeven en die je op GitHub hebt staan, is Procesmonitor of ProcMon​ Een veel moderner hulpprogramma voor Windows dat wordt gebruikt om de activiteit van een Microsoft Windows-besturingssysteem in realtime te controleren en weer te geven, met name het lezen van activiteit uit het Windows-register.

vooral interessant voor sysadmins, forensisch onderzoek en debuggen​ Voor taken die kunnen variëren van simpelweg de activiteit van het systeem kennen tot mislukte toegangspogingen (lezen / schrijven) in registersleutels om problemen op te sporen, filteren op sleutels, processen, ID of specifieke waarden om te vinden wat u zoekt , kent het gebruik van dynamische DLL-bibliotheken die worden gebruikt door softwareapplicaties, detecteert FS- of bestandssysteemfouten, enz.

Dit hulpprogramma was het resultaat van het samenvoegen van twee van de oude tools die Microsoft eerder gebruikte en die heten:

  • BestandMon- is gemaakt door Mark Russinovich en Bryce Cogswell, twee medewerkers van NuMega Technologies. Dit werd later omgevormd tot SysInternals en werd in 2006 door Microsoft gekocht. De naam is een samentrekking van File + Monitor, en zoals de naam al doet vermoeden, is het gewijd aan het bewaken van de activiteit van het bestandssysteem.
  • RegMon: zijn tweelingzus deelt dezelfde afkomst. In dit geval was het gericht op forensische analyse met behulp van gegevens uit het Windows-register. De naam komt van de samentrekking van Registry + Monitor.

Na te zijn samengevoegd tot één, zou ProcMon voor de eerste keer worden uitgebracht voor Windows 2000 en vervolgens voor Windows XP SP2, om uiteindelijk te worden bijgewerkt voor volgende versies. Maar ondanks dat het freeware was, was het dat niet open source hasta ahora.

ProcMon voor Linux

Je denkt misschien dat ik je dit alles vertel en dat het niets met Linux te maken heeft, ook al is het geopend. Maar de waarheid is dat dit niet het geval is, aangezien er een versie van is ProcMon is ook beschikbaar voor Linux​ Daarom, als je deze tool leuk vindt en wilt proberen op je GNU / Linux-distro, kan dat vanaf nu.

ProcMon is een nieuwe aanpassing van de klassieke ProcMon Sysinternals origineel. Dit is bedoeld om ontwikkelaars een efficiënte manier te bieden om de activiteit van systeemoproepen (syscalls) te volgen of te traceren. Maar natuurlijk is er onder Linux geen register in Windows-stijl, dus het is geen eenvoudige poort, daarom moet je gebruik maken van BCC (BPF Compiler Collection), dat wil zeggen een toolkit of een groep tools voor het manipuleren en traceren van programma's voor de Linux-kernel.

Bovendien heeft Microsoft de code vrijgegeven in GitHub onder MIT-licentie​ Overigens een broncode die is geschreven met de programmeertaal C ++.

Installeer ProcMon

Om te beginnen zal het eerste zijn installeer ProcMon in je favoriete distro. U moet weten dat het een reeks afhankelijkheden heeft waaraan u vooraf moet voldoen. Hoewel de codepagina alleen over Ubuntu spreekt, werkt deze mogelijk ook op andere distributies.

Het eerste wat je moet doen is voldoen aan afhankelijkheden die in feite drie zijn:

  • BCC (BPF-compilerverzameling)
  • cmake (om de code te bouwen)
  • libsqlite3-dev (SQL-database-engine)

Om dit te doen, kunt u voer de volgende opdrachten uit:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Daarmee zouden we al de afhankelijkheden hebben, het volgende zou zijn om voor te gaan ProcMon zelf:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Als je wilt, kan dat ook bouw het DEB-pakket ProcMon in Ubuntu op een eenvoudige manier:

cd build
cpack ..

Gebruik ProcMon

Als je het eenmaal hebt geïnstalleerd, is het volgende begin met genieten van deze tool​ Het gebruik ervan is vrij eenvoudig, omdat het niet enorm veel opties heeft. Je moet ook in gedachten houden dat het privileges nodig heeft, dus je moet het als root draaien of, beter, met sudo ervoor.

La ProcMon-syntaxis om het vanaf de terminal te gebruiken is:

procmon [opciones]

waarin [opties] zullen enkele van deze zijn:

  • -ho –help: toon de hulp van het programma.
  • -p of –pids: om de door komma's gescheiden processen aan te geven die u wilt controleren. U kunt er maar één gebruiken. Het wordt gespecificeerd door zijn ID, dat wil zeggen een nummer.
  • -eo –events: door komma's gescheiden lijst met systeemoproepen die u wilt controleren. U kunt er maar één gebruiken. U moet ze bij naam specificeren.
  • -co –collect / path / file: start procmon in headless mode. Dat wil zeggen, zonder de functies van de interface die u in de vorige GIF kunt zien. Een zeer praktische modus voor sommige tests of geautomatiseerde scripts. Het pad specificeert het bestand waarin alle activiteit van de opdrachtuitvoer zal worden opgenomen, zodat u het later kunt zien.
  • -fo –file / path / file: voer ProcMon uit om een ​​specifiek bestand toe te wijzen.
  • Geen opties: start vervolgens ProcMon en het toont alle actieve processen en syscalls op het systeem.
  • Gecombineerd: meerdere opties kunnen probleemloos worden gecombineerd.

Als je wat wilt praktische voorbeelden, kunt u deze uitvoeringsvoorbeelden zien:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Fernando zei
    geleden Tot 4 jaar

    Ik gebruik het op Windows sinds het uitkwam. En dat er jaren geleden veel vergelijkbare tools waren.
    Maar dit was een eenvoudig uitvoerbaar bestand, eenvoudig en praktisch ...

    Laten we eens kijken hoe het onder Linux gaat.

    Reageer op Fernando