1

我正在尝试在 Windows 机器上构建 osquery 的 PoC,但我无法让 osqueryd.exe(或 osqueryi.exe)使用标志文件。我认为在文档或其他内容中一定有我遗漏的东西。我试过的步骤:

  1. 验证实际的标志。当我将它们作为命令行参数传递时,它可以工作。
  2. 尝试了我在网上找到的两种格式: osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flagsosqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags.
  3. 将权限放宽到所有文件都具有完全权限的所有人(我必须添加--allow_unsafe)。
  4. 在 SYSTEM 帐户下创建标志文件。
  5. 以用户、管理员和系统的身份运行 osquery。
  6. 使用 manage-osqueryd.ps1 脚本安装 osquery 服务。当我使用 -startupArgs 传递所有参数时,该服务确实有效。当我只传递标志文件时,它不会。

我有什么明显的遗漏吗?

谢谢

汤姆

4

1 回答 1

1

你能拍我们的输出sc.exe qc osqueryd吗?我很想知道服务细节是什么样的。简而言之,系统服务应该包含 osqueryd 二进制文件的完整路径,以及--flagfile=C:\ProgramData\osquery\osquery.flags. 或任何您想要的,因为您拥有的调用也很好:)

例如,这是我的系统服务的输出:

PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: osqueryd
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : osqueryd
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

作为附加说明,这里有一个关于在 windows 下手动安装的部分它不是超级棒,但它确实为我认为的权限和服务行为提供了更多上下文。希望有帮助!也请随时在 Slack 中联系我,我是 Thor。

于 2018-06-07T16:37:51.503 回答