Microsoft ProcMon - Linux için İşlem İzleyicisi

Isaac

6 minutos

Windows ve Linux logoları, ProcMon

Microsoft Linux için o belirsiz sevgiye sahip olduğunu satmak istedi, aslında, çekirdeğin HyperV'yi entegre etmek için geliştirilmesine katkıda bulundular. Ayrıca, iyi bildiğiniz gibi, onlar Linux Vakfı'nın üyeleridir ve ünlü açık kaynak platformu GitHub'ı satın almışlardır. Buna Edge, PowerShell, ProcMon gibi bazı programların da GNU / Linux'ta kullanmak için FAT taşıdığını, açtığını veya Windows 10'larına bir Linux alt sistemi entegre ettiklerini eklemeliyiz ...

Ama dikkat et aşkı ilgiyle karıştırmayınve Microsoft'u yönlendiren şey tamamen ilgidir. Yaptığı tüm bu jestlere rağmen yine de kar peşinde koşan bir şirket ve hep peşinde olacak. Bu, Linux'a yaklaşmak anlamına geliyorsa, olacaktır ve bu uzaklaşmak anlamına geliyorsa, o da olacaktır. Tereddüt etme.

Arka plân

, Windows 95 logosu

Microsoft'un bazılarını test ettiğini biliyor musunuz bilmiyorum efsanevi Windows 95 özellikleri Windows 10'da. En son Redmond işletim sistemi, kullanıcılarının daha çok veya daha az sevebileceği bunun gibi bazı deneyler yaptıkları bir tür sürekli sürüm haline geldi.

Bazı programlar Artık önem kazandıkları için Windows 95 bugün kurtarıldı. Örneğin, sosyal ağlarda vb. Yayınlanacak resimler için çok pratik olacak olan Image Resizer. Kısacası, bir dizi getirmeyi planlıyor. PowerToys bazı iyileştirmeler ve yeni zamanlara uyarlamalarla modern sistemine.

Arasında PowerToy Yardımcı Programları onlar:

  • FancyZones
  • Image Resizer
  • Klavye Yöneticisi
  • PowerRename
  • vb.

Bunun yanı sıra, başka bazıları da var açık kaynak araçları Microsoft'un GitHub'da ve bazıları da GNU / Linux için.

ProcMon veya Process Monitor

İşlem İzleme Pencereleri

Microsoft'un kaynak kodunu yayınladığı ve GitHub'da sahip olduğunuz başka bir araç da Process Monitor veya ProcMon. Bir Microsoft Windows işletim sisteminin etkinliğini gerçek zamanlı olarak izlemek ve görüntülemek için kullanılan, özellikle Windows kayıt defterinden etkinliği okuyan çok daha modern bir Windows yardımcı programı.

özellikle sistem yöneticileri, adli tıp ve hata ayıklama için ilginç. Sistemin etkinliğini bilmekten, sorunları tespit etmek için kayıt defteri anahtarlarındaki başarısız erişim girişimlerine (okuma / yazma) kadar değişen görevler için, aradığınızı bulmak için anahtarlara, işlemlere, kimliğe veya belirli değerlere göre filtreleme yapın , yazılım uygulamaları tarafından kullanılan dinamik DLL kitaplıklarının kullanımını öğrenin, FS veya dosya sistemi hatalarını tespit edin, vb.

Bu yardımcı program, eski araçlardan ikisinin birleştirilmesinin sonucu Microsoft'un daha önce kullandığı ve şu adla anılanlar:

  • DosyaMon- İki NuMega Technologies çalışanı olan Mark Russinovich ve Bryce Cogswell tarafından oluşturuldu. Bu daha sonra SysInternals oldu ve 2006'da Microsoft tarafından satın alındı. Adı, File + Monitor'un bir kısaltmasıdır ve adından da anlaşılacağı gibi dosya sistemi etkinliğini izlemeye adanmıştır.
  • RegMon: ikiz kardeşi aynı kökene sahip. Bu durumda, Windows kayıt defterindeki veriler kullanılarak adli analiz amaçlanmıştır. Adı, Registry + Monitor'un kısaltılmasından gelmektedir.

ProcMon, bir araya getirildikten sonra, Windows 2000 için ilk kez ve ardından sonraki sürümler için güncelleştirilmek üzere Windows XP SP2 için piyasaya sürülecekti. Ancak ücretsiz olmasına rağmen, açık kaynak hasta ahora.

Linux için ProcMon

Bunları size neden anlattığımı ve açılmış olmasına rağmen Linux ile hiçbir ilgisi olmadığını düşünebilirsiniz. Ancak gerçek şu ki, durum böyle değil, çünkü ProcMon ayrıca Linux için de mevcuttur. Bu nedenle, bu aracı GNU / Linux dağıtımınızda da denemek ve denemek istiyorsanız, bundan sonra yapabilirsiniz.

ProcMon klasik ProcMon'un yeni bir uyarlaması Sysinternals orijinal. Bu, geliştiricilere sistem çağrılarının (sistem çağrıları) etkinliğini izlemek veya izlemek için etkili bir yol sağlamaktır. Ancak elbette, Linux'ta Windows tarzı bir kayıt defteri yoktur, bu nedenle basit bir bağlantı noktası değildir, bu nedenle BCC (BPF Derleyici Koleksiyonu), yani bir araç seti veya araç grubunu kullanmanız gerekir. Linux çekirdeği için programların manipülasyonu ve izlenmesi.

Ek olarak, Microsoft kodu şu şekilde yayınladı: GitHub MIT lisansı altında. Bu arada, C ++ programlama dili kullanılarak yazılmış bir kaynak kodu.

ProcMon'u yükleyin

Başlamak için ilk şey olacak ProcMon'u kurun en sevdiğiniz dağıtımda. Önceden tatmin etmeniz gereken bir dizi bağımlılığı olduğunu bilmelisiniz. Ayrıca, kod sayfası yalnızca Ubuntu hakkında konuşsa da, diğer dağıtımlarda da çalışabilir.

Yapılacak ilk şey bağımlılıkları gidermek temelde üç olan:

  • BCC (BPF Derleyici Koleksiyonu)
  • cmake (kodu oluşturmak için)
  • libsqlite3-dev (SQL veritabanı motoru)

Bunu yapmak için şunları yapabilirsiniz: aşağıdaki komutları çalıştırın:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Bununla zaten bağımlılıklara sahip olurduk, aşağıdakiler için gitmek olurdu ProcMon'un kendisi:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Eğer istersen sen de yapabilirsin DEB paketini oluştur Ubuntu'da ProcMon basit bir şekilde:

cd build
cpack ..

ProcMon'u kullanın

Yükledikten sonra, aşağıdakiler bu aracın tadını çıkarmaya başlayın. Çok fazla seçeneğe sahip olmadığı için kullanımı oldukça basittir. Ayrıcalıklara ihtiyacı olduğunu da aklınızda bulundurmalısınız, bu yüzden onu kök olarak veya daha iyisi önünde sudo ile çalıştırmalısınız.

La ProcMon sözdizimi terminalden kullanmak için:

procmon [opciones]

nerede [seçenekler] bunlardan bazıları olacak:

  • -ho –help: programın yardımını gösterir.
  • -p veya –pids: izlemek istediğiniz virgülle ayrılmış işlemleri belirtmek için. Yalnızca birini kullanabilirsiniz. Kimliği, yani bir numara ile belirtilecektir.
  • -eo –events: izlemek istediğiniz sistem çağrılarının virgülle ayrılmış listesi. Yalnızca birini kullanabilirsiniz. Bunları adıyla belirtmeniz gerekecek.
  • -co –collect / path / file: procmon'u başsız modda başlatın. Yani, önceki GIF'te görebileceğiniz arayüz özellikleri olmadan. Bazı testler veya komut dosyalı otomasyonlar için çok pratik bir mod. Yol, daha sonra görebilmeniz için komut çıktısının tüm faaliyetlerinin kaydedileceği dosyayı belirtir.
  • -fo –dosya / yol / dosya: belirli bir dosyayı eşlemek için ProcMon'u çalıştırın.
  • Seçenek yok: ardından ProcMon'u başlatın ve sistemdeki tüm çalışan işlemleri ve sistem çağrılarını gösterecektir.
  • Kombine: Birkaç seçenek sorunsuz bir şekilde birleştirilebilir.

Eğer biraz istersen pratik örnekler, şu yürütme örneklerini görebilirsiniz:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Fernando dijo
    önce 4 yıl

    Çıktığından beri Windows'ta kullanıyorum. Ve o yıllar önce birçok benzer araç vardı.
    Ancak bu basit ve pratik bir çalıştırılabilir dosyaydı ..

    Linux'ta nasıl gittiğini görelim.

    Fernando'ya yanıt ver