Mutasem-mk4/procscope
GitHub: Mutasem-mk4/procscope
一款基于 eBPF 的进程级运行时调查工具,聚焦单进程行为追踪与取证。
Stars: 23 | Forks: 0
# procscope — Linux 的 eBPF 进程追踪器,作者:Mutasem Kharma (معتصم خرما)
**零开销、零配置的 Linux eBPF 进程追踪器。**
追踪恶意软件行为,调查可疑二进制文件,审计容器工作负载 —— 没有 `strace` 的开销,也没有全系统 EDR 守护进程的复杂性。
在监控下启动一个命令 —— 或附加到现有进程 —— 查看它在运行时的实际行为:进程生命周期、文件活动、网络连接、权限转换等等。
**专为以下场景设计:** 安全研究、恶意软件分类、应急响应和深度调试。
**不适用于:** EDR、SIEM 或全系统追踪。
## 快速开始
[](https://killercoda.com/mutasem04/scenario/procscope-scenario)
### 1 分钟安装 (Go 1.24+)
```
go install github.com/Mutasem-mk4/procscope/cmd/procscope@latest
sudo procscope -- ./suspicious-binary
```
[完整安装指南](docs/install.md) | [用法与输出格式](docs/usage.md)
## 功能与特性
| 类别 | 事件 | 详情 |
|----------|--------|---------|
| **进程** | exec, fork, exit | [支持矩阵](docs/support-matrix.md) |
| **文件** | open, rename, unlink, chmod | [支持矩阵](docs/support-matrix.md) |
| **网络** | connect, accept, bind, listen | [支持矩阵](docs/support-matrix.md) |
| **权限** | setuid, setgid, ptrace | [支持矩阵](docs/support-matrix.md) |
## 技术栈与环境要求
- **运行环境:** Go 1.24+
- **观测方式:** eBPF (CO-RE)
- **Linux 内核 5.8+** 且支持 BTF。
- **Root** 权限或特定的 eBPF capabilities。
- **架构:** amd64, arm64。
详情请参阅[支持矩阵](docs/support-matrix.md)。
## 为什么选择 procscope?
- **零配置:** 无需复杂的策略或 YAML 文件。
- **专注性:** 自动跟踪 fork,但将范围限定在您的目标进程树内。
- **证据就绪:** 为应急响应(IR)团队生成结构化的证据包和 Markdown 报告。
- **低开销:** 基于 eBPF 的观测,性能影响极小。
[与 Tracee、Tetragon 和 strace 对比](docs/comparison.md)
## 文档
- [架构与设计](docs/architecture.md)
- [安全与隐私模型](docs/security-model.md)
- [安装指南](docs/install.md)
- [用法与 Flags](docs/usage.md)
- [打包状态](docs/packaging.md)
## 许可证
[MIT](LICENSE)
由 [Mutasem Kharma (معتصم خرما)](https://github.com/Mutasem-mk4) 开发。
标签:DAST, eBPF, IP 地址批量处理, Linux, Mr. Robot, 客户端加密, 库, 应急响应, 恶意软件分析, 系统追踪, 网络安全审计