Windows 上的 osquery 不使用标志文件

Question

我正在尝试在 Windows 机器上构建 osquery 的 PoC，但我无法让 osqueryd.exe（或 osqueryi.exe）使用标志文件。我认为在文档或其他内容中一定有我遗漏的东西。我尝试过的步骤：

1. 验证实际标志。当我将它们作为命令行传递时 论据，它有效。
2. 尝试了我在网上找到的两种格式： osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flags 和 osqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags。
3. 将权限放松到所有文件都拥有Everyone的程度 完全权限（我必须添加--allow_unsafe）。
4. 在 SYSTEM 帐户下创建标志文件。
5. 以用户、管理员和 SYSTEM 身份运行 osquery。
6. 使用 manage-osqueryd.ps1 脚本安装 osquery 服务。当我使用 -startupArgs 传递所有参数时，该服务确实有效。当我只传递标志文件时，它不会。

我有什么明显的遗漏吗？

谢谢

汤姆

Answer 1

你能给我们拍sc.exe qc osqueryd的输出吗？我很想知道服务细节是什么样的。简而言之，系统服务应该包含 osqueryd 二进制文件的完整路径，以及--flagfile=C:\ProgramData\osquery\osquery.flags，或者任何你想要的，因为你的调用也很好:)

例如，这是我的系统服务的输出：

PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: osqueryd
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : osqueryd
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

作为附加说明，installing manually under windows here 上有一个部分，它不是超级，但它确实为我认为的权限和服务行为提供了更多背景信息。希望有帮助！也请随时在 Slack 中联系我，我是 Thor。