osquery - Как я могу получить происхождение файла, используя osquery?

Question

osquery - Как я могу получить происхождение файла, используя osquery?

Я использую osquery в Windows, и мне нужна помощь: я хочу получить происхождение файла определенного файла. Например, я загружаю файл с http://example.com/ и ищу запрос на osquery, который показывает мне информацию о том, что я загружаю этот конкретный файл с http://example.com/ (или что-то в этом роде). Я думал, что для получения этой информации я могу сравнить временные метки между файлом таблицы и маршрутами таблицы, но в маршрутах нет метки времени столбца. Как я могу это сделать?

0

sql windows osquery

Источник

user10446660 08 окт '18 в 09:16

2 ответа

Решение

+1 к тому, что упомянул @groob, это был бы хороший стол, и я думаю, что мы хотели его в течение некоторого времени. Я думал, что у нас уже есть проблема, но я пошел дальше и сделал новую, поскольку простые поиски ничего не поднимали. Спасибо за вопрос:) https://github.com/facebook/osquery/issues/5250

1

Источник

user2221120 08 окт '18 в 16:57

Другие вопросы по тегам sql windows osquery

user4517738 08 окт '18 в 14:01 2018-10-08 14:01 · Accepted Answer · 2018-10-08 14:01

Я не вижу таблицы для этого в Windows, хотя информация доступна в системе через ADS( см. Этот ответ). Я бы открыл для этого вопрос в репозитории osquery, это был бы ценный стол.

Вы можете использовать extended_attributes Таблица. Например:

osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
  path = /Users/victor/Downloads/osqueryi.zip
   key = com.apple.lastuseddate#PS
 value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1

  path = /Users/victor/Downloads/osqueryi.zip
   key = where_from
 value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>