Microsoft ProcMon - Process Monitor för Linux

Isaac

6 minuter

Windows- och Linux-logotyper, ProcMon

Microsoft har velat sälja att den har den osäkra kärleken till Linux, de har faktiskt bidragit till utvecklingen av kärnan för att integrera till exempel dess HyperV. Som du väl vet är de också medlemmar i Linux Foundation, och de har köpt den berömda öppen källkodsplattformen GitHub. Till detta måste vi lägga till att vissa program som Edge, PowerShell, ProcMon, etc. bär, öppnar FAT, också att använda i GNU / Linux eller att de har integrerat ett Linux-delsystem i sin Windows 10 ...

Men se upp förväxla inte kärlek med intresse, och det som driver Microsoft är rent intresse. Trots alla de gester det har gjort är det fortfarande ett företag som söker vinst, och det kommer alltid att söka dem. Om det innebär att närma sig Linux kommer det, och om det innebär att flytta bort kommer det också. Tveka inte.

Bakgrund

Windows 95 logotyp

Jag vet inte om du vet att Microsoft har testat några av deras mytiska Windows 95-funktioner i Windows 10. Det senaste Redmond-operativsystemet har blivit ett slags rullande release som de gör några experiment som dessa som deras användare kanske gillar mer eller mindre.

Några av programmen Windows 95 har räddats idag, eftersom de nu blir allt viktigare. Till exempel Image Resizer, vilket skulle vara mycket praktiskt för bilder som ska publiceras på sociala nätverk etc. Kort sagt, han tänker ta med sig en serie av honom PowerToys till sitt moderna system med några förbättringar och anpassningar till de nya tiderna.

Bland de PowerToy-verktyg är:

  • FancyZones
  • bild Resizer
  • Tangentbordshanterare
  • PowerRename
  • och så vidare

Tja, förutom det finns det några andra verktyg för öppen källkod som Microsoft har på GitHub, och några av dem också för GNU / Linux.

ProcMon eller Process Monitor

Windows ProcessMonitor

Ett annat verktyg från vilket Microsoft har släppt sin källkod och du har den på GitHub är Process Monitor eller ProcMon. Ett mycket modernare verktyg för Windows som används för att övervaka och visa aktiviteten i ett Microsoft Windows-operativsystem i realtid, särskilt läsaktivitet från Windows-registret.

speciellt intressant för sysadmin, kriminalteknik och felsökning. För uppgifter som kan sträcka sig från att bara känna till systemets aktivitet, till misslyckade åtkomstförsök (läs / skriv) i registernycklar för att upptäcka problem, filtrera efter nycklar, processer, ID eller specifika värden för att hitta det du letar efter , känna till användningen av dynamiska DLL-bibliotek som används av programvaror, upptäcka FS- eller filsystemfel etc.

Detta verktyg var resultatet av att två av de gamla verktygen slogs samman som Microsoft använde tidigare och som heter:

  • FileMon- Skapad av Mark Russinovich och Bryce Cogswell, två anställda hos NuMega Technologies. Detta blev senare SysInternals och köptes av Microsoft 2006. Dess namn är en sammandragning av File + Monitor, och som namnet antyder är det tillägnad att övervaka filsystemaktivitet.
  • Regmon: hans tvillingsyster delar samma ursprung. I det här fallet var det inriktat på kriminalteknisk analys med hjälp av data från Windows-registret. Dess namn kommer från sammandragningen av Registry + Monitor.

Efter att ha slogs samman till en skulle ProcMon släppas för Windows 2000 för första gången och sedan för Windows XP SP2, för att sluta uppdateras för efterföljande versioner. Men trots att det var freeware så var det inte öppen källkod tills nu.

ProcMon för Linux

Du kanske tror att det varför jag berättar allt detta och att det inte har något att göra med Linux trots att det har öppnats. Men sanningen är att så inte är fallet, eftersom det finns en version av ProcMon finns också för Linux. Därför, om du gillar och vill prova det här verktyget också på din GNU / Linux-distro, kan du från och med nu.

ProcMon är en ny anpassning av den klassiska ProcMon Sysinternals original. Detta för att ge utvecklare ett effektivt sätt att övervaka eller spåra aktiviteten hos systemanrop (syscalls). Men naturligtvis finns det inget register i Windows-stil i Linux, så det är ingen enkel port, det är därför du måste använda BCC (BPF Compiler Collection), det vill säga en verktygslåda, eller en grupp verktyg, för manipulering och spårning av program för Linux-kärnan.

Dessutom har Microsoft släppt koden i GitHub under MIT-licens. Förresten, en källkod som skrivs med C ++ programmeringsspråk.

Installera ProcMon

Till att börja med kommer det första att vara installera ProcMon i din favoritdistro. Du bör veta att den har en rad beroenden som du måste tillgodose i förväg. Även om kodsidan bara talar om Ubuntu kan det också fungera på andra distros.

Det första du ska göra är tillgodose beroenden som i grunden är tre:

  • BCC (BPF Compiler Collection)
  • cmake (för att bygga koden)
  • libsqlite3-dev (SQL-databasmotor)

För att göra detta kan du kör följande kommandon:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Med det skulle vi redan ha beroenden, följande skulle vara att gå för ProcMon själv:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Om du vill kan du också bygg DEB-paketet ProcMon i Ubuntu på ett enkelt sätt:

cd build
cpack ..

Använd ProcMon

När du har installerat det är följande börja njuta av det här verktyget. Användningen är ganska enkel, eftersom den inte har en enorm mängd alternativ. Du måste också komma ihåg att det behöver privilegier, så du bör köra det som root eller, bättre, med sudo framför det.

La ProcMon-syntax att använda den från terminalen är:

procmon [opciones]

var [alternativ] kommer att vara några av dessa:

  • -ho –hjälp: visa programmets hjälp.
  • -p eller –pids: för att ange de kommaseparerade processerna du vill övervaka. Du kan bara använda en. Det kommer att specificeras av dess ID, det vill säga ett nummer.
  • -eo - händelser: kommaseparerad lista över systemanrop som du vill övervaka. Du kan bara använda en. Du måste ange dem efter namn.
  • -co –collect / path / file: start procmon i headless mode. Det vill säga utan funktionerna i dess gränssnitt som du kan se i föregående GIF. Ett mycket praktiskt läge för vissa tester eller automatiserade skript. Sökvägen anger filen där all aktivitet för kommandoutgången kommer att spelas in så att du senare kan se den.
  • -fo –fil / sökväg / fil: kör ProcMon för att mappa någon specifik fil.
  • Inga alternativ: starta sedan ProcMon så visas alla pågående processer och syscalls i systemet.
  • Kombinerat: flera alternativ kan kombineras utan problem.

Om du vill ha lite praktiska exempel, kan du se dessa exekveringsexempel:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Fernando sade
    sedan 4 år

    Jag har använt det på Windows sedan det kom ut. Och för många år sedan fanns det många liknande verktyg.
    Men det här var en enkel körbar fil, enkel och praktisk ..

    Låt oss se hur det går på Linux.

    Svara Fernando