Microsoft ProcMon - Монитор процессов для Linux

Microsoft хотел продать свою неуверенную любовь к Linux, на самом деле, они внесли свой вклад в разработку ядра для интеграции, например, его HyperV. Кроме того, как вы хорошо знаете, они являются членами Linux Foundation и купили знаменитую платформу с открытым исходным кодом GitHub. К этому мы должны добавить, что некоторые программы, такие как Edge, PowerShell, ProcMon и т. Д., Несут, открывают FAT, также для использования в GNU / Linux, или что они интегрировали подсистему Linux в свою Windows 10 ...

Но глаз не путайте любовь с интересом, а то, что движет Microsoft, - это чистый интерес. Несмотря на все эти жесты, это все еще компания, которая стремится к прибыли, и всегда будет стремиться к ней. Если это означает приближение к Linux, так и будет, и если это означает отход, то так и будет. Не стесняйтесь.

Фон

Я не знаю, знаете ли вы, что Microsoft тестирует некоторые из своих мифические особенности Windows 95 в Windows 10. Последняя операционная система Redmond стала своего рода скользящим выпуском, с которым они проводят некоторые эксперименты, подобные этим, которые могут более или менее понравиться их пользователям.

Некоторые из программы Windows 95 была спасена сегодня, так как теперь она приобретает все большее значение. Например, Image Resizer, который будет очень практичным для изображений, которые будут размещены в социальных сетях и т. Д. Одним словом, он намерен принести серию своих PowerToys к его современной системе с некоторыми улучшениями и приспособлениями к новым временам.

Среди PowerToy Утилиты являются:

• FancyZones
• Image Resizer
• Диспетчер клавиатуры
• PowerRename
• и так далее

Ну, кроме этого, есть и другие инструменты с открытым исходным кодом которые у Microsoft есть на GitHub, а некоторые также для GNU / Linux.

ProcMon или Process Monitor

Еще один инструмент, исходный код которого Microsoft выпустила и который у вас есть на GitHub, - это Монитор процессов или ProcMon. Гораздо более современная утилита для Windows, которая используется для мониторинга и отображения активности операционной системы Microsoft Windows в реальном времени, в частности, для чтения активности из реестра Windows.

особенно интересно для сисадминов, криминалистики и отладки. Для задач, которые могут варьироваться от простого знания активности системы до неудачных попыток доступа (чтение / запись) в разделах реестра для обнаружения проблем, фильтрации по ключам, процессам, идентификатору или конкретным значениям, чтобы найти то, что вы ищете , знать использование динамических библиотек DLL, используемых программными приложениями, обнаруживать ошибки файловой системы или файловой системы и т. д.

Эта утилита была результат слияния двух старых инструментов которые Microsoft использовала ранее и которые называются:

• ФайлПон- Создано двумя сотрудниками NuMega Technologies Марком Руссиновичем и Брайсом Когсвеллом. Позже он стал SysInternals и был куплен Microsoft в 2006 году. Его название - сокращение от File + Monitor, и, как следует из названия, он предназначен для мониторинга активности файловой системы.
• Регмон: его сестра-близнец имеет то же происхождение. В данном случае он был направлен на криминалистический анализ с использованием данных из реестра Windows. Его название происходит от сокращения Registry + Monitor.

После объединения в один ProcMon будет выпущен впервые для Windows 2000, а затем для Windows XP SP2, чтобы в конечном итоге быть обновленным для последующих версий. Но, несмотря на то, что это бесплатное программное обеспечение, это не с открытым исходным кодом до сих пор

ProcMon для Linux

Вы можете подумать, что именно поэтому я рассказываю вам все это, и что это не имеет ничего общего с Linux, даже если он был открыт. Но правда в том, что это не так, поскольку существует версия ProcMon также доступен для Linux. Поэтому, если вам нравится и вы хотите попробовать этот инструмент также в своем дистрибутиве GNU / Linux, с этого момента вы можете.

ProcMon - это новая адаптация классического ProcMon Sysinternals оригинал. Это должно предоставить разработчикам эффективный способ мониторинга или отслеживания активности системных вызовов (syscalls). Но, конечно, в Linux нет реестра в стиле Windows, поэтому это не простой порт, поэтому вам нужно использовать BCC (BPF Compiler Collection), то есть набор инструментов или группу инструментов для манипулирование и отслеживание программ для ядра Linux.

Кроме того, Microsoft выпустила код в GitHub под лицензией MIT. Кстати, исходный код написан на языке программирования C ++.

Установить ProcMon

Для начала первым делом будет установить ProcMon в вашем любимом дистрибутиве. Вы должны знать, что у него есть ряд зависимостей, которые вы должны удовлетворить заранее. Кроме того, хотя кодовая страница говорит только об Ubuntu, она может работать и в других дистрибутивах.

Первое, что нужно сделать, это удовлетворять зависимости которых в основном три:

• BCC (Коллекция компиляторов BPF)
• cmake (для сборки кода)
• libsqlite3-dev (ядро базы данных SQL)

Для этого вы можете выполните следующие команды:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev

git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

При этом у нас уже будут зависимости, следующее будет: Сам ProcMon:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Если вы хотите, вы также можете собрать пакет DEB ProcMon в Ubuntu простым способом:

cd build
cpack ..

Используйте ProcMon

После того, как вы его установили, следующее: начни пользоваться этим инструментом. Его использование довольно простое, так как у него нет огромного количества опций. Вы также должны иметь в виду, что ему нужны привилегии, поэтому вы должны запускать его как root или, лучше, с sudo перед ним.

La Синтаксис ProcMon использовать его с терминала:

procmon [opciones]

где [параметры] будут некоторые из них:

• -ho –help: показать справку программы.
• -p или –pids: для обозначения процессов, разделенных запятыми, которые вы хотите отслеживать. Вы можете использовать только один. Он будет указываться его идентификатором, то есть числом.
• -eo –events: список системных вызовов, которые вы хотите отслеживать, через запятую. Вы можете использовать только один. Вам нужно будет указать их по имени.
• -co –collect / path / file: запустить procmon в автономном режиме. То есть без особенностей его интерфейса, которые вы видели в предыдущем GIF. Очень практичный режим для некоторых тестов или автоматизации по сценариям. Путь будет указывать на файл, в который будет записана вся деятельность вывода команды, чтобы вы могли позже ее увидеть.
• -fo –file / path / file: запустить ProcMon для отображения определенного файла.
• Нет вариантов: затем запустите ProcMon, и он покажет все запущенные процессы и системные вызовы в системе.
• Комбинированный: несколько вариантов можно без проблем комбинировать.

Если ты хочешь практические примеры, вы можете увидеть эти примеры выполнения:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba