我在 Windows 上使用 osquery,我需要帮助:我想检索特定文件的文件来源。例如,我从http://example.com 下载了一个文件,并且我正在寻找关于 osquery 的查询,该查询显示我从http://example.com(或类似的东西)下载该特定文件的信息。我认为要获得这些信息,我可以比较表 file 和表 routes 之间的时间戳,但没有列 timestamp 路线。我怎样才能做到这一点?
【问题讨论】:
我在 Windows 上没有看到此表,尽管该信息可通过 ADS(see this answer) 在系统上获得。我会在osquery repo 上为此打开一个问题,这将是一张有价值的表格。
您可以使用extended_attributes 表。例如:
osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
path = /Users/victor/Downloads/osqueryi.zip
key = com.apple.lastuseddate#PS
value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1
path = /Users/victor/Downloads/osqueryi.zip
key = where_from
value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>
【讨论】:
Zone.Identifier 文件中检索ReferrerURL 和HostURL。它不适用于.exe 文件,我不知道为什么。我这样做是因为 osquery 不允许这样做。
+1 关于@groob 提到的内容,这将是一张不错的桌子,我想我们已经想要它一段时间了。我以为我们已经为此解决了一个问题,但我继续制作了一个新的,因为简单的搜索没有发现任何问题。谢谢你的问题:) https://github.com/facebook/osquery/issues/5250
【讨论】: