Я использую osquery в Windows, и мне нужна помощь: я хочу получить происхождение определенного файла. Например, я загружаю файл с http://example.com и ищу в osquery запрос, показывающий мне информация о том, что я загружаю этот конкретный файл с http://example.com (или что-то вроде этого). Я подумал, что для получения этой информации я могу сравнить отметки времени между таблицей file и таблицей routes , но в столбце timestamp нет < EM> маршруты . Как я могу это сделать?

0
suad 8 Окт 2018 в 12:16

2 ответа

Лучший ответ

Я не вижу таблицы для этого в Windows, хотя информация доступна в системе через ADS (см. этот ответ). Я бы открыл для этого проблему в репозитории osquery, было бы полезно иметь ,

Вы можете использовать таблицу extended_attributes. Например:

osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
  path = /Users/victor/Downloads/osqueryi.zip
   key = com.apple.lastuseddate#PS
 value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1

  path = /Users/victor/Downloads/osqueryi.zip
   key = where_from
 value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>
1
groob 8 Окт 2018 в 14:01

+1 к тому, что упомянул @groob, это был бы хороший стол, и я думаю, что мы хотели его в течение некоторого времени. Я думал, что у нас уже есть проблема для этого, но я пошел дальше и сделал новую, так как простой поиск ничего не дал. Спасибо за вопрос :) https://github.com/facebook/osquery/issues/5250

1
Muffins 8 Окт 2018 в 16:57