从我读到的 osquery 用于查询/读取系统信息。
它有任何机会修改系统状态,例如终止进程或删除注册表项?
我正在使用 osqueryi 命令,就像select * form users在以编程方式潜入之前一样。
问问题
102 次
1 回答
1
一般不会。
osquery 本身旨在不更改文件系统中的任何内容。主发行版没有可以做到这一点的机制。(当然,它是本地状态文件除外)
但是,可以编写 osquery 扩展来执行扩展作者想要的任何操作。此外,osquery 支持“可写表”的想法,扩展可以使用它来呈现更简单的界面。
查看https://blog.trailofbits.com/2018/05/30/manage-your-fleets-firewalls-with-osquery/以获取可写表示例。
于 2021-04-26T14:01:43.553 回答