我在 Windows 上使用 osquery,我需要帮助:我想检索特定文件的文件来源。例如,我从http://example.com下载了一个文件,并且正在寻找关于 osquery 的查询,该查询显示了我从http://example.com(或类似的东西)下载该特定文件的信息。我认为要获取此信息,我可以比较表文件和表路由之间的时间戳,但路由中没有列时间戳。我怎样才能做到这一点?
user10446660
问问题
805 次
2 回答
1
尽管可以通过 ADS 在系统上获得该信息(请参阅此答案),但我在 Windows 上没有看到此表。我会在osquery repo上为此打开一个问题,这将是一个有价值的表。
您可以使用该extended_attributes表。例如:
osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
path = /Users/victor/Downloads/osqueryi.zip
key = com.apple.lastuseddate#PS
value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1
path = /Users/victor/Downloads/osqueryi.zip
key = where_from
value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>
于 2018-10-08T14:01:47.760 回答
1
+1 @groob 提到的,这将是一张不错的桌子,我想我们已经想要它一段时间了。我以为我们已经为此解决了一个问题,但我继续制作了一个新的,因为简单的搜索没有发现任何问题。感谢您的问题:) https://github.com/facebook/osquery/issues/5250
于 2018-10-08T16:57:12.460 回答