sql - osquery - 如何使用 osquery 检索文件来源?
问题描述
我在 Windows 上使用 osquery,我需要帮助:我想检索特定文件的文件来源。例如,我从http://example.com下载了一个文件,并且正在寻找关于 osquery 的查询,该查询显示了我从http://example.com(或类似的东西)下载该特定文件的信息。我认为要获取此信息,我可以比较表文件和表路由之间的时间戳,但路由中没有列时间戳。我怎样才能做到这一点?
解决方案
尽管可以通过 ADS 在系统上获得该信息(请参阅此答案),但我在 Windows 上没有看到此表。我会在osquery repo上为此打开一个问题,这将是一个有价值的表。
您可以使用该extended_attributes表。例如:
osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
path = /Users/victor/Downloads/osqueryi.zip
key = com.apple.lastuseddate#PS
value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1
path = /Users/victor/Downloads/osqueryi.zip
key = where_from
value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>
推荐阅读
- reactjs - React mobx 将 store 注入到组件中
- php - moyasar沙特支付网关(500内部服务器错误)
- c++ - C++中的for循环在带有指针变量的单次迭代后停止
- php - 如何使用 Laravel lighthouse-php 和 vuejs 实现搜索功能?
- javascript - 甜蜜警报确认后未提交表单
- javascript - 如何将 URL 数组转换为树/文件夹结构数据?
- c++ - 如何在 OpenGL 中实现两个不同的窗口(非当代)
- javascript - 我如何在 DOM 中通过 li 标签计数器样式线
- python - WSL2:Python 使用 VS Code 调试器重命名文件
- php - MySQL 服务器已消失 - 数据包乱序。预期 0 收到 1. 数据包大小=72