我在Windows上使用osquery,需要帮助:我想检索特定文件的文件来源。例如,我从http://example.com下载文件,并且正在osquery上查询查询,该查询向我显示了从http://example.com下载特定文件的信息(或类似的东西)。我认为要获取此信息,我可以比较表 file 和表 routes 之间的时间戳,但是其中没有列 timestamp 路线。我怎样才能做到这一点?
答案 0 :(得分:1)
尽管在系统上可以通过ADS(see this answer)获得该信息,但在Windows上看不到该表。我将为此在osquery repo上发布一个问题,这将是一个有价值的表。
您可以使用extended_attributes表。例如:
osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
path = /Users/victor/Downloads/osqueryi.zip
key = com.apple.lastuseddate#PS
value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1
path = /Users/victor/Downloads/osqueryi.zip
key = where_from
value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>
答案 1 :(得分:1)
+1关于@groob提到的内容,这是一张不错的桌子,我想我们已经想要了一段时间。我以为我们已经为此解决了一个问题,但是我继续进行并提出了一个新建议,因为简单的搜索没有发现任何问题。谢谢你的问题:) https://github.com/facebook/osquery/issues/5250