osquery - Как я могу получить происхождение файла, используя osquery?

Question

Я использую osquery в Windows, и мне нужна помощь: я хочу получить происхождение файла определенного файла.Например, я загружаю файл с http://example.com и ищу запрос на osquery, который показывает мне информацию о том, что я загружаю этот конкретный файл с http://example.com (или что-то в этом роде).Я думал, что для получения этой информации я могу сравнить временные метки между таблицей файл и таблицей маршрутов , но в нет столбца отметка времени маршруты .Как я могу это сделать?

Answer 1

+ 1 о том, что упомянул @groob, было бы неплохо иметь этот стол, и я думаю, что мы хотели его в течение некоторого времени.Я думал, что у нас уже есть проблема, но я продолжил и сделал новую, поскольку простые поиски ничего не поднимали.Спасибо за вопрос :) https://github.com/facebook/osquery/issues/5250

Answer 2

Я не вижу таблицы для этого в Windows, хотя информация доступна в системе через ADS ( см. Этот ответ ).Я бы открыл эту проблему для osquery repo , это была бы ценная таблица.

Вы можете использовать таблицу extended_attributes.Например:

osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
  path = /Users/victor/Downloads/osqueryi.zip
   key = com.apple.lastuseddate#PS
 value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1

  path = /Users/victor/Downloads/osqueryi.zip
   key = where_from
 value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>