pxmon - Process Execution Monitor
Posted: Mon Aug 02, 2021 2:09 pm
pxmon (Process eXecution MONitor) – средство для мониторинга исполнения программ (точнее их процессов). Основной целью является наблюдение в реальном времени за активностью программ. Также pxmon может применяться для быстрого тестирования, изучения и поиска подозрительных действий в исследуемой программе, и для высокоуровневой (а значит только поверхностной) отладки. При всём при этом, pxmon – не отладчик (т.к. шагом исполнения процесса является действие, а не инструкция процессора или оператор из языка высокого уровня), не песочница и не антивирус.
Ключевыми понятиями в pxmon являются действие и активность. Действиями называются относительно крупные события в процессе, такие как системный вызов или вызов библиотечной функции, например: чтение файла, выделение памяти, вызов printf и т.д. Под активностью, соответственно, подразумеваются определенные категории таких действий: файловая, сетевая, gui-активность и т.д.
На данный момент pxmon находится в разработке и готова лишь beta-версия. Так что пока есть следующее:
Это консольное приложение, поэтому его необходимо запускать в shell'е: Примеры работы:
Ключевыми понятиями в pxmon являются действие и активность. Действиями называются относительно крупные события в процессе, такие как системный вызов или вызов библиотечной функции, например: чтение файла, выделение памяти, вызов printf и т.д. Под активностью, соответственно, подразумеваются определенные категории таких действий: файловая, сетевая, gui-активность и т.д.
На данный момент pxmon находится в разработке и готова лишь beta-версия. Так что пока есть следующее:
- отслеживание большинства действий, представленных системными вызовами (некоторые из них отображаются довольно детально, некоторые, такие как сетевые, представлены в виде заглушек аля "Calling a network configuration/statistics function")
- отслеживание выделенных блоков памяти
- приостановка/продолжение проверяемого процесса по горячей клавише [Ctrl+Alt+F8] и завершение процесса по [Ctrl+Alt+F10]
- нумерация действий
- отслеживание неизвестных функций
- библиотечные вызовы пока не отслеживаются
Это консольное приложение, поэтому его необходимо запускать в shell'е: Примеры работы: