windows上不提取标记文件的osquery

Question

我正试图在Windows上构建一个osquery的PoC，但我只是不能让osqueryd.exe (或osqueryi.exe)使用这个标记文件。我想我在文档或其他方面一定有遗漏。我试过的步骤：

1. 验证实际标志。当我将它们作为命令行参数传递时，它可以工作。
2. 尝试了我在网上找到的两种格式：osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flags和osqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags。
3. 放松权限，使所有文件都具有完全权限(我必须添加--allow_unsafe)。
4. 在系统帐户下创建标记文件。
5. 以用户、管理和系统的身份运行osquery。
6. 使用Many-osqueryd.ps1脚本安装osquery服务。当我用-startupArgs传递所有参数时，服务就会正常工作。当我只传递标记文件时，它不会传递。

我有什么明显的遗漏吗？

谢谢

汤姆

Answer 1

你能把sc.exe qc osqueryd的输出拍下来吗？我很想看看服务细节是什么样子的。其缺点是系统服务应该包含到osqueryd二进制文件以及--flagfile=C:\ProgramData\osquery\osquery.flags的完整路径，或者您想要的任何东西，因为您的调用也很好:)

例如，下面是我的系统服务的输出：

PS C:\WINDOWS\system32> sc.exe qc osqueryd
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: osqueryd
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\ProgramData\osquery\osqueryd\osqueryd.exe --flagfile=\ProgramData\osquery\osquery.flags
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : osqueryd
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

另外，还有一个关于这里的windows下手动安装的章节--它不是超级棒，但是它确实为我认为的权限和服务行为提供了更多的上下文。希望这能帮上忙！我是雷神，也可以在斯拉克给我打电话。