Microsoft ProcMon - монітор процесів для Linux

Isaac

6 хвилин

Логотипи Windows і Linux, ProcMon

Microsoft хотіли продати, що вони мають ту непевну любов до Linux, насправді вони сприяли розробці ядра для інтеграції, наприклад, їх HyperV. Крім того, як ви добре знаєте, вони є членами Linux Foundation, і вони придбали відому платформу з відкритим кодом GitHub. До цього ми повинні додати, що деякі програми, такі як Edge, PowerShell, ProcMon тощо, містять відкритий FAT, також для використання в GNU / Linux, або що вони інтегрували підсистему Linux у свою Windows 10 ...

Але будьте обережні не плутайте любов з інтересом, а те, що рухає Microsoft, - це чистий інтерес. Незважаючи на всі ті жести, які вона зробила, це все ще компанія, яка прагне отримати прибуток і завжди буде їх шукати. Якщо це означає наближення до Linux, це буде, а якщо це означає віддалення - це теж буде. Не соромтеся.

Фон

Вікна 95 логотип

Не знаю, чи знаєте ви, що Microsoft тестувала деякі з них міфічні особливості Windows 95 в Windows 10. Найновіша операційна система Redmond стала своєрідним рухомим випуском, з яким вони проводять такі експерименти, які можуть сподобатися їхнім користувачам більш-менш.

Дещо з програми Сьогодні Windows 95 було врятовано, оскільки вона набуває все більшої ваги. Наприклад, Image Resizer, що було б дуже практично для зображень, які мають розміщуватися в соціальних мережах тощо. Коротше кажучи, він має намір представити низку своїх PowerToys до її сучасної системи з деякими вдосконаленнями та адаптаціями до нового часу.

Серед Утиліти PowerToy вони є:

  • FancyZones
  • Image Resizer
  • Менеджер клавіатури
  • PowerRename
  • і т.п.

Ну, крім цього, є ще деякі інструменти з відкритим кодом що Microsoft має на GitHub, а деякі з них також для GNU / Linux.

ProcMon або Process Monitor

Монітор процесів Windows

Іншим інструментом, з якого Microsoft випустила свій вихідний код, і ви маєте його на GitHub, є Монітор процесів або ProcMon. Набагато більш сучасна утиліта для Windows, яка використовується для моніторингу та відображення активності операційної системи Microsoft Windows у режимі реального часу, зокрема читання активності з реєстру Windows.

Особливо цікаво для системних адміністраторів, криміналістики та налагодження. Для завдань, які можуть варіюватися від простого знання діяльності системи, до невдалих спроб доступу (читання / запис) у ключах реєстру для виявлення проблем, фільтрування за ключами, процесами, ідентифікатором або конкретними значеннями, щоб знайти те, що ви шукаєте , знати використання динамічних бібліотек DLL, що використовуються програмними програмами, виявляти помилки FS або файлової системи тощо.

Ця утиліта була результат об’єднання двох старих інструментів що раніше використовували Microsoft і які називаються:

  • FileMon- Створено Марком Руссіновичем та Брайс Когсуелл, двома працівниками NuMega Technologies. Пізніше це було перетворено на SysInternals і придбано корпорацією Майкрософт у 2006 році. Його назва - скорочення File + Monitor, і, як випливає з назви, воно присвячене моніторингу діяльності файлової системи.
  • RegMon: його сестра-близнюк має те саме походження. У цьому випадку він був спрямований на судово-медичний аналіз з використанням даних з реєстру Windows. Його назва походить від скорочення Registry + Monitor.

Після об’єднання в одну ProcMon вперше вийде для Windows 2000, а потім для Windows XP SP2, і в кінцевому підсумку оновиться для наступних версій. Але, незважаючи на те, що це було безкоштовно, це не було з відкритим вихідним кодом до цього часу.

ProcMon для Linux

Ви можете подумати, чому я кажу вам все це, і що це не має нічого спільного з Linux, хоча він був відкритий. Але правда в тому, що це не так, оскільки існує версія ProcMon також доступний для Linux. Тому, якщо ви хочете і хочете спробувати цей інструмент також на вашому дистрибутиві GNU / Linux, відтепер ви можете.

ProcMon є нова адаптація класичного ProcMon Оригінал Sysinternals. Це має надати розробникам ефективний спосіб контролю або відстеження активності системних викликів (системних викликів). Але, звичайно, в Linux немає реєстру у стилі Windows, тому це не простий порт, тому вам доведеться використовувати BCC (BPF Compiler Collection), тобто набір інструментів або групу інструментів для маніпуляції та трасування програм для ядра Linux.

Крім того, Microsoft випустила цей код у GitHub за ліцензією MIT. До речі, вихідний код, який написаний з використанням мови програмування С ++.

Встановіть ProcMon

Для початку перше, що буде встановіть ProcMon у вашому улюбленому дистрибутиві. Ви повинні знати, що він має ряд залежностей, які ви повинні задовольнити заздалегідь. Крім того, хоча на кодовій сторінці йдеться лише про Ubuntu, вона може працювати і на інших дистрибутивах.

Перше, що потрібно зробити, це задовольнити залежності яких в основному три:

  • BCC (Колекція компілятора БНФ)
  • cmake (для побудови коду)
  • libsqlite3-dev (движок бази даних SQL)

Зробити це можна виконайте наступні команди:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev


git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Зважаючи на те, що ми вже мали б залежності, слід було б піти на наступне Сам ProcMon:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Якщо ви хочете, ви могли б також побудувати пакет DEB ProcMon в Ubuntu простим способом:

cd build
cpack ..

Використовуйте ProcMon

Після того, як ви його встановите, наведено нижче Почніть насолоджуватися цим інструментом. Його використання досить просте, оскільки у нього немає величезної кількості варіантів. Ви також повинні пам’ятати, що йому потрібні привілеї, тому вам слід запускати його як root або, краще, із sudo перед ним.

La Синтаксис ProcMon використовувати його з терміналу:

procmon [opciones]

де [варіанти] будуть деякі з них:

  • -хо –допомога: показати допомогу програми.
  • -p або –pids: для позначення процесів, відокремлених комами, які ви хочете контролювати. Ви можете використовувати лише один. Він буде вказаний своїм ідентифікатором, тобто номером.
  • -eo –події: розділений комами список системних викликів, які ви хочете контролювати. Ви можете використовувати лише один. Вам доведеться вказати їх по імені.
  • -co –collect / path / file: запустити procmon у безголовому режимі. Тобто без особливостей його інтерфейсу, які ви можете побачити в попередньому GIF. Дуже практичний режим для деяких тестів або автоматизованих сценаріїв. Шлях буде вказати файл, в якому буде записана вся діяльність виводу команди, щоб ви могли його потім побачити.
  • -fo –file / path / file: запустіть ProcMon, щоб зіставити певний файл.
  • Немає опцій: тоді запустіть ProcMon, і він покаже всі запущені процеси та системні виклики в системі.
  • Комбіноване: кілька варіантів можна поєднати без проблем.

Якщо ви хочете трохи практичні приклади, ви можете побачити такі приклади виконання:

sudo procmon

sudo procmon -p 44

sudo procmon -p 44,800

sudo procmon -c /home/registro.db

sudo procmon -p 4 -e read,write,open

sudo procmon -f /home/usuario/programas/prueba

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: AB Internet Networks 2008 SL
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Фернандо - сказав він
    тому 4 років

    Я використовую його на Windows з моменту його появи. І що років тому було багато подібних інструментів.
    Але це був простий виконуваний файл, простий і практичний ..

    Давайте подивимося, як це відбувається в Linux.

    Відповісти Фернандо