自游人
自游人

witr:进程启动链溯源工具

 收录于 实用工具与脚本
  约 1500 字 预计阅读 3 分钟  0 条评论  

还在为系统里那些来路不明的进程头疼吗?服务器上端口被占用了却不知道是哪个程序在搞鬼?传统工具只能告诉你"进程在运行",却永远解释不了它"为什么会启动"。witr 就是来解决这个痛点的!这款用 Go 语言开发的跨平台命令行工具,能帮你一眼看穿进程、服务、端口的启动因果链,让你彻底搞明白每个程序背后的"来龙去脉"。

核心功能

查询维度

  • 按进程名、PID、端口、文件路径检索运行程序
  • 支持多目标混合查询、精确/模糊匹配

输出能力

  • 标准详情:进程信息、启动时间、启动链路、工作目录、Git 仓库等
  • 精简/树形/JSON 输出,可查看环境变量、安全警告

交互式 TUI 模式

  • 实时进程/端口列表、进程详情查看
  • 支持进程操作(杀进程、暂停/恢复)、鼠标交互

上下文识别

  • 检测服务管理器(systemd/launchd)、容器(Docker/K8s)、SSH/tmux 会话、定时任务等启动来源

基础用法

进入交互式 TUI 面板 

1
2
3

witr
# 或
witr -i

实时看进程、端口,鼠标/快捷键操作,排查首选。

通用参数

参数作用
-p/--pid指定进程 ID 查询
-o/--port按指定端口查占用进程
-f/--file查占用文件的进程
-x/--exact精确匹配进程名(默认模糊)
-s/--short只显示启动链路
-t/--tree树形展示进程父子关系
--env输出进程环境变量
--jsonJSON 格式化输出
-v查看版本
-h查看帮助

实战示例

按进程名查询 

1
2
3
4
5
6
7
8

# 模糊查询
witr nginx

# 精确匹配
witr nginx -x

# 查询 java 进程
witr java

通过 PID 查询 

1
2
3
4

witr -p 12345

# 多个 PID 一起查
witr -p 1234 -p 5678

查询端口占用 & 溯源 

1
2
3
4
5

# 查 80 端口是谁在跑
witr -o 80

# 多端口查询
witr -o 3306 -o 6379

精简/树形输出 

1
2
3
4
5

# 只看启动链路
witr -o 5000 -s

# 树形父子进程
witr -p 143895 -t

查看文件被哪个进程占用 

1

witr -f /var/lib/dpkg/lock

查看进程环境变量 

1

witr node --env

混合多条件查询 

1
2

# 进程名+端口+PID 一起查
witr nginx -o 8080 -p 9988

脚本适配(读取退出码) 

1
2
3

witr mysql --short
echo $?
# 0 正常 1 有警告 2 未找到 3 权限不足 4 参数错误

Windows 安全排查

查陌生端口,揪后台偷偷联网程序 

1

witr --port 任意端口
  • 查出哪个软件偷偷开端口、后台驻留
  • 识别不明联网进程、弹窗广告后台、流氓驻留程序

查看开机自启/后台悄悄运行程序

打开交互式面板:

1

witr
  • 直观看所有后台进程,快速认出非正规软件、捆绑进程
  • 区分系统正常进程 vs 第三方流氓进程

查看进程真实启动路径 + 启动命令

  • 分辨伪装成系统进程的木马、后台挂机、挖矿小程序
  • 很多恶意程序伪装系统名,看启动路径一眼识破

查看进程工作目录

  • 定位可疑程序藏在哪个文件夹
  • 快速找到捆绑软件、静默安装程序位置

安全警告自动提示(Windows 可用) 

1

witr 进程名 --warnings

Windows 会告警这些风险:

  • 程序以管理员权限私自运行
  • 进程长期后台挂着不退出
  • 监听全网端口,容易被外网访问
  • 进程启动路径异常、临时目录运行可疑程序

查软件是否被注入、篡改

查看进程环境变量,发现恶意劫持、代理劫持、dll 注入痕迹:

1

witr 进程名 --env

清理后台无用高危进程

TUI 界面里可直接结束异常进程,不用进任务管理器乱找。

Windows 实用安全用法

  • 查谁占用高危端口:
    1
2

    witr --port 443
witr --port 80
  • 全盘筛查可疑后台:
    1

    witr
  • 查浏览器后台恶意进程:
    1

    witr chrome
  • 查微信/QQ/直播软件后台驻留:
    1

    witr wechat
  • 只看安全风险,精简排查:
    1

    witr --warnings

Windows 局限性

  • 无法读取系统级内核权限、Linux 那种能力权限
  • 不能查看文件占用进程(Windows 不支持 --file
  • 部分系统进程信息不全,必须管理员身份运行终端
  • 无法深度查杀病毒,只做行为排查、进程溯源

权限说明

Linux/macOS

查系统进程、服务建议加 sudo

1

sudo witr

Windows

以管理员身份运行终端再执行命令。

快捷安装命令

Linux/Mac 一键安装 

1

curl -fsSL https://raw.githubusercontent.com/pranshuparmar/witr/main/install.sh | bash

Windows PowerShell 

1

irm https://raw.githubusercontent.com/pranshuparmar/witr/main/install.ps1 | iex

项目资源

https://github.com/pranshuparmar/witr

原文链接: https://www.17you.com/tool/witr-process-chain-tracer/ 已复制!
脚本编程和自动化工具

寻找技术支持帮助和技术合伙人一起搞事。

请点击联系我

相关内容

更新于 2026-05-25 
CC BY-NC-SA 4.0
GoCli
返回 | 主页

目录