osquery

Question

我在 Windows 上使用 osquery，我需要帮助：我想检索特定文件的文件来源。例如，我从 http://example.com and I'm looking for a query on osquery that show me the info that I download that specific file from http://example.com 下载一个文件（或类似的文件）。我认为为了获得这些信息，我可以比较 table file 和 table routes 之间的时间戳，但是不是 routes 中的 timestamp 列。我怎样才能做到这一点？

Answer 1

我在 windows 上没有看到 table，尽管可以通过 ADS 在系统上获得该信息（see this answer). I would open an issue for this on the osquery repo，这将是一个有价值的 table 有。

可以使用extended_attributestable。例如：

osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
  path = /Users/victor/Downloads/osqueryi.zip
   key = com.apple.lastuseddate#PS
 value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1

  path = /Users/victor/Downloads/osqueryi.zip
   key = where_from
 value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>

Answer 2

+1 关于@groob 提到的内容，这是一个很好的 table，我想我们想要它已经有一段时间了。我以为我们已经为此解决了一个问题，但我继续做了一个新的，因为简单的搜索没有找到任何结果。谢谢你的问题:) https://github.com/facebook/osquery/issues/5250

osquery - 如何使用 osquery 检索文件来源？

osquery - How can I retrieve a file origin using osquery?

sql

windows