0

我需要一些帮助。我使用什么语法来搜索使用 osquery 的可执行文件?比如我要找winword.exe、excel.exe。提前致谢。

4

2 回答 2

0

一般osquery不用于穷举搜索磁盘。这种动作往往非常缓慢且容易失败。

更常见的是使用 osquery 来检查已安装的程序。

这可以通过programs来完成。虽然这不会直接找到exe,

于 2021-03-09T16:12:15.897 回答
0

我不明白您要在此实现什么,但您也可以搜索当前正在运行的进程并过滤掉当前正在运行的所有不同的可执行文件。您不会从中获得所有的 pid,但至少是现在正在运行的所有 EXE 的列表

SELECT count(*) count, pid, name, state, root, on_disk, total_size from processes where name like '%exe' group by name;
于 2021-08-03T11:24:52.967 回答