Mutasem-mk4/procscope

GitHub: Mutasem-mk4/procscope

一款基于 eBPF 的进程级运行时调查工具,聚焦单进程行为追踪与取证。

Stars: 23 | Forks: 0

procscope header banner

# procscope — Linux 的 eBPF 进程追踪器,作者:Mutasem Kharma (معتصم خرما) **零开销、零配置的 Linux eBPF 进程追踪器。** 追踪恶意软件行为,调查可疑二进制文件,审计容器工作负载 —— 没有 `strace` 的开销,也没有全系统 EDR 守护进程的复杂性。

BlackArch Linux Awesome Go Latest Release
CI Status Go Report Card License
eBPF Powered Latency Heuristics Enabled

在监控下启动一个命令 —— 或附加到现有进程 —— 查看它在运行时的实际行为:进程生命周期、文件活动、网络连接、权限转换等等。 **专为以下场景设计:** 安全研究、恶意软件分类、应急响应和深度调试。 **不适用于:** EDR、SIEM 或全系统追踪。 ## 快速开始 [![在浏览器中试用](https://img.shields.io/badge/Try_in_Browser-Killercoda-23C13F?style=flat-square&logoColor=white)](https://killercoda.com/mutasem04/scenario/procscope-scenario) ### 1 分钟安装 (Go 1.24+) ``` go install github.com/Mutasem-mk4/procscope/cmd/procscope@latest sudo procscope -- ./suspicious-binary ``` [完整安装指南](docs/install.md) | [用法与输出格式](docs/usage.md) ## 功能与特性 | 类别 | 事件 | 详情 | |----------|--------|---------| | **进程** | exec, fork, exit | [支持矩阵](docs/support-matrix.md) | | **文件** | open, rename, unlink, chmod | [支持矩阵](docs/support-matrix.md) | | **网络** | connect, accept, bind, listen | [支持矩阵](docs/support-matrix.md) | | **权限** | setuid, setgid, ptrace | [支持矩阵](docs/support-matrix.md) | ## 技术栈与环境要求 - **运行环境:** Go 1.24+ - **观测方式:** eBPF (CO-RE) - **Linux 内核 5.8+** 且支持 BTF。 - **Root** 权限或特定的 eBPF capabilities。 - **架构:** amd64, arm64。 详情请参阅[支持矩阵](docs/support-matrix.md)。 ## 为什么选择 procscope? - **零配置:** 无需复杂的策略或 YAML 文件。 - **专注性:** 自动跟踪 fork,但将范围限定在您的目标进程树内。 - **证据就绪:** 为应急响应(IR)团队生成结构化的证据包和 Markdown 报告。 - **低开销:** 基于 eBPF 的观测,性能影响极小。 [与 Tracee、Tetragon 和 strace 对比](docs/comparison.md) ## 文档 - [架构与设计](docs/architecture.md) - [安全与隐私模型](docs/security-model.md) - [安装指南](docs/install.md) - [用法与 Flags](docs/usage.md) - [打包状态](docs/packaging.md) ## 许可证 [MIT](LICENSE) 由 [Mutasem Kharma (معتصم خرما)](https://github.com/Mutasem-mk4) 开发。
标签:DAST, eBPF, IP 地址批量处理, Linux, Mr. Robot, 客户端加密, 库, 应急响应, 恶意软件分析, 系统追踪, 网络安全审计