osquery --如何使用osquery检索文件来源？

Question

我在Windows上使用osquery，我需要帮助:我想检索特定文件的文件来源。例如，我从http://example.com下载了一个文件，我正在寻找关于osquery的查询，该查询显示了我从http://example.com (或类似于此)下载该特定文件的信息。我认为为了获得这些信息，我可以比较表文件和表路由之间的时间戳，但是在路由中没有列时间戳。我怎么能这么做？

Answer 1

虽然这些信息可以通过ADS(见这个答案)在系统上获得，但我在windows上没有看到这样的表格。我会在osquery上打开一个问题，这将是一个有价值的表格。

您可以使用extended_attributes表。例如：

osquery> select path, key, value, base64 from extended_attributes where path ='/Users/victor/Downloads/osqueryi.zip';
  path = /Users/victor/Downloads/osqueryi.zip
   key = com.apple.lastuseddate#PS
 value = eynzWgAAAAAbZEQgAAAAAA==
base64 = 1

  path = /Users/victor/Downloads/osqueryi.zip
   key = where_from
 value = https://files.slack.com/files-pri/T04QVKUQG-FALAL3WP2/download/osqueryi.zip
base64 = 0
osquery>

Answer 2

+1关于@groob提到的内容，这将是一张很好的桌子，我想我们已经有一段时间了。我以为我们已经有了一个问题，但我继续做了一个新的，因为简单的搜索没有打开任何东西。谢谢你的提问:) https://github.com/facebook/osquery/issues/5250