使用 OSquery 修改或终止进程等
Using OSquery to modifying or kill processes, etc
据我了解,osquery 用于查询/读取系统信息。
它有机会修改系统状态,例如终止进程或删除注册表项??
在以编程方式深入研究之前,我正在使用 select * form users 等 osqueryi 命令。
一般不会。
osquery 本身旨在不 更改文件系统中的任何内容。主要发行版没有可以做到这一点的机制。 (当然,本地状态文件除外)
然而,可以编写 osquery 扩展来做扩展作者想要的任何事情。此外,osquery 支持“可写 tables” 的想法,扩展可以使用它来呈现更简单的界面。
查看 https://blog.trailofbits.com/2018/05/30/manage-your-fleets-firewalls-with-osquery/ 的 writable table 示例。
据我了解,osquery 用于查询/读取系统信息。
它有机会修改系统状态,例如终止进程或删除注册表项??
在以编程方式深入研究之前,我正在使用 select * form users 等 osqueryi 命令。
一般不会。
osquery 本身旨在不 更改文件系统中的任何内容。主要发行版没有可以做到这一点的机制。 (当然,本地状态文件除外)
然而,可以编写 osquery 扩展来做扩展作者想要的任何事情。此外,osquery 支持“可写 tables” 的想法,扩展可以使用它来呈现更简单的界面。
查看 https://blog.trailofbits.com/2018/05/30/manage-your-fleets-firewalls-with-osquery/ 的 writable table 示例。