windows上的osquery没有采用flagfile

时间:2018-06-07 09:10:16

标签: osquery

我正在尝试在Windows机器上构建一个osquery的PoC,而我无法让osqueryd.exe(或osqueryi.exe)获得使用flagfile。我认为必须有一些我在文档或其他方面遗漏的东西。我试过的步骤:

  1. 验证实际标志。当我将它们作为命令行传递时 论证,它有效。
  2. 尝试过我在网上找到的两种格式: osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flagsosqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags
  3. 放宽权限,使所有文件都包含Everyone 完全权限(我必须添加--allow_unsafe)。
  4. 在SYSTEM帐户下创建标记文件。
  5. 以用户,admin和SYSTEM运行osquery。
  6. 使用manage-osqueryd.ps1脚本安装osquery服务。当我使用-startupArgs传递所有参数时,该服务确实有效。当我只传递flagfile时,它不会。

    7. 我有什么明显的遗失吗?

    谢谢

    汤姆

1 个答案:

答案 0 :(得分:1)

你可以向我们开枪sc.exe qc osqueryd的输出吗?我很想知道服务细节是什么样的。缺点是系统服务应该包含osqueryd二进制文件的完整路径,以及--flagfile=C:\ProgramData\osquery\osquery.flags或者你喜欢的任何内容,因为你拥有的调用也很好:)

例如,这是我的系统服务的输出:

PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: osqueryd
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : osqueryd
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

作为补充说明,installing manually under windows here上有一节不是超级,但它确实为我认为的权限和服务行为提供了更多上下文。希望有所帮助!也随意在Slack中打电话给我,我是Thor。

相关问题
最新问题