Cách cài và sử dụng Procmon trên Linux, công cụ mã nguồn mở vừa được Microsoft phát hành

Procmon trên Linux

• Procmon là gì?
• Cách cài đặt và build Procmon trên Linux
  • Yêu cầu hệ thống
  • Cài Procmon
  • Build Procmon từ mã nguồn
• Cách sử dụng Procmon

Procmon là gì?

Có lẽ nhiều người dùng Windows không còn xa lạ với công cụ này. Procmon là một tiện ích hệ thống, giúp người dùng dễ dàng theo dõi các cuộc gọi hệ thống (system calls), truy cập Registry và file activity liên quan đến các quy trình đang chạy trong hệ điều hành.

Việc theo dõi các quy trình này cho phép người dùng chẩn đoán sớm các sự cố có thể xảy ra trên hệ thống, chẳng hạn như xung đột ứng dụng, sử dụng tài nguyên quá mức, hoặc thậm chí lây nhiễm phần mềm độc hại.

Sự ra mắt của công cụ Procmon nguồn mở phiên bản dành cho Linux đóng vai trò khá quan trọng, giúp người dùng Linux có thêm một công cụ hỗ trợ theo dõi các quy trình đang chạy trên hệ thống tương tự như Windows, có thể thấy trong bản demo bên dưới:

Cách cài đặt và build Procmon trên Linux

Yêu cầu hệ thống

• Hệ điều hành: Ubuntu 18.04 LTS với kernel >= 4.18 và kernel
• cmake >= 3.13 (chỉ build-time)
• libsqlite3-dev >= 3.22 (chỉ build-time)

Cài Procmon

Đăng ký Microsoft key và feed:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb

Sau đó dùng câu lệnh sau để cài Procmon:

sudo apt-get update
sudo apt-get install procmon

Build Procmon từ mã nguồn

Cài dependency:

sudo apt-get -y install bison build-essential flex git libedit-dev 
  libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev

Build và cài BCC:

git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git
mkdir bcc/build
cd bcc/build
cmake .. -DCMAKE_INSTALL_PREFIX=/usr
make
sudo make install

Build Procmon:

git clone https://github.com/Microsoft/Procmon-for-Linux
cd Procmon-for-Linux
mkdir build
cd build
cmake ..
make

Build package Procmon:

Các gói phân phối cho Procmon trên Linux được build bằng cách sử dụng cpack. Để build package deb cho Procmon trên Ubuntu bạn chỉ cần chạy:

cd build
cpack ..

Cách sử dụng Procmon

Khi sử dụng Procmon trên Linux, người dùng có thể chỉ định ID tiến trình mà mình muốn theo dõi hoặc các cuộc gọi hệ thống cụ thể bằng những đối số sau:

Usage: procmon [TÙY CHỌN]

Có các TÙY CHỌN bao gồm:

• -h/–help: In màn hình trợ giúp này
• -p/–pids: Phân tách danh sách id tiến trình bằng dấu phẩy để giám sát
• -e/–events: Phân tách danh sách các cuộc gọi hệ thống bằng dấu phẩy để giám sát
• -c/–collect [ĐƯỜNG DẪN TIỆP]: Tùy chọn để khởi động Procmon ở chế độ không đầu cuối
• -f/–file ĐƯỜNG DẪN TIỆP: Mở tệp theo dõi Procmon

Ví dụ: để giám sát các tiến trình có id 738 và 2657, bạn nhập lệnh sau:

sudo procmon -p 738,2657

Để theo dõi PID 738 và liệt kê tất cả các cuộc gọi đọc/ghi, bạn sử dụng lệnh sau.

sudo procmon -p 738 -e read,write

Để biết thêm thông tin về cách sử dụng Procmon trong Linux, bạn có thể tham khảo chuyên trang GitHub của dự án này tại địa chỉ: github.com/microsoft/ProcMon-for-Linux

• Cách dùng lệnh htop theo dõi các tiến trình hệ thống theo thời gian thực

• Cách sử dụng BleachBit trên Linux
• Sự khác nhau về các loại môi trường desktop trên Linux
• Cách cài đặt fcgiwrap cho Nginx trên Ubuntu 20.04
• Cách dùng pandoc để chuyển đổi file trên Linux