Это должно быть выполнимо, но ваш вопрос довольно широк.Получение базового представления о том, как выглядит хорошо работающая система Windows 7 - это гунна, во многом зависит от того, что вас волнует.Что я бы порекомендовал сделать, так это получить json-дамп таблиц, которые, по вашему мнению, могут иметь значение для вашего конкретного исследования, поэтому, возможно, что-то вроде:
PS C:\Users\thor\Desktop> osqueryi --json -A drivers
PS C:\Users\thor\Desktop> osqueryi --json -A programs
PS C:\Users\thor\Desktop> osqueryi --json -A users
PS C:\Users\thor\Desktop> osqueryi --json -A startup_items
PS C:\Users\thor\Desktop> osqueryi --json "select f.filename, f.path, h.md5, h.sha256 from file f, hash h where h.path = f.path and f.path like 'C:\Windows\%';"
PS C:\Users\thor\Desktop> osqueryi --json "select f.filename, f.path, h.md5, h.sha256 from file f, hash h where h.path = f.path and f.path like 'C:\Windows\system32\%%';"
PS C:\Users\thor\Desktop> osqueryi --json -A scheduled_tasks
PS C:\Users\thor\Desktop> osqueryi --json -A certificates
Примечание это определенно не так 'Это исчерпывающий список, но только некоторые вещи, которые можно было бы проверить.Я также рекомендовал бы добавить в запросы @fmanco, упомянутые выше.
После того, как вы создали здоровенный список больших двоичных объектов JSON с данными из базовой системы, вы можете затем выполнить те же запросы для скомпрометированной системы.и "diff" выходы json в поисках различий.Это может быть очень сложно, особенно если учитывать хэши файлов C: \ Windows \ system32 \ %%, учитывая, что значения хешей могут сильно различаться даже на одной и той же версии патча системы, просто к сведению.
Надеюсь, чтопомогает!