![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
osquery
fantongl
这个作者很懒,什么都没留下…
展开
-
02_osquery_osquery的构建
02_osquery_osquery的构建1.Windows上的构建1.1. 工具1.2. 源码1.3. cmake编译1.3.1 配置1.3.2 build1.4 运行2. Linux上的构建(待续……)1.Windows上的构建1.1. 工具CMake(>=3.17.5):建议使用MSI安装程序。在安装过程中,选择选项以将其添加到所有用户的系统“ PATH”中。如果安装了任何较旧的CMake版本,需要先卸载该版本。不要使用Visual Studio安装程序来安装CMake,因为它包含的版本原创 2020-12-11 16:31:54 · 424 阅读 · 0 评论 -
03_osquery_osqueryi的简单使用
03_osquery_osqueryi的简单使用前言1.osqueryi1.1.“.help”1.2. “.show”1.3. "table"1.4. “.schema”2.sql的使用2.1.查看系统信息2.2. 查看OS版本2.3. 查看网卡信息2.4. 查看进程信息2.5. 查询当前已经登陆的用户信息2.6. 查询系统启动时间3.json格式的输出3.1. json格式输出3.2. 使用管道的方式进行查询前言osquery存在两种运行模式,分别是osqueryi(交互式模式)、osqueryd(守原创 2020-12-03 11:53:55 · 913 阅读 · 0 评论 -
04_osquery_osqueryd的使用
04_osquery_osqueryd的使用1. osqueryd1.1. osquery.conf文件1.2. options1.3. schedule1.4. decorators1.5. packs2. 运行osqueryd1. osqueryd在装好osquery之后,osqueryd会以service的方式存在于系统中,所以可以利用systemctl的方式进行控制,其文件位于(Linux系统)/usr/lib/systemd/system/osqueryd.service。1.1. osq原创 2020-12-03 20:29:45 · 895 阅读 · 0 评论 -
05_osquery_源码解读_os_version
05_osquery_源码解读_os_version1. 表1.1. os_version1.2. os_version表的定义1.3. os_version数据来源1.3.1. Linux系统中的来源1.3.2. Windows系统中的查询1.4 os_version.cpp(Linux的实现)1.4.1 genOSVersion()1.4.2. genOSVersionImpl()1.4.3. genOSRelease()1.5 os_version.cpp(Windows的实现)1. 表osqu原创 2020-12-04 19:05:18 · 1150 阅读 · 0 评论 -
06_osquery_源码解读_system_info
06_osquery_源码解读_system_info一、表的结构二、Windows上的实现2.1. 通过WMI查询获取2.2. 通过注册表获取2.3. 通过WinAPI进行获取3. 总结一、表的结构system_info.table在源码中相对位置为/specs/system_info.tabletable_name("system_info")description("System information for identification.")schema([ Column("ho原创 2020-12-12 18:00:06 · 253 阅读 · 0 评论 -
07_osquery_创建一张表
07_osquery_创建一张表1. 前言2. New表(官方例子)2.1 设计表2.2 根据表规范创建表2.3. 添加.table文件到CMakeLists.txt文件2.4. 实现我们的表2.5. 声明我们的cpp文件2.6 编译,运行.2.7. 看下我们的成果3. 总结1. 前言osquery自带了许多表,但是自己能创建一张表那是多么的香啊。官方文档很详细,按照来就可以。文档链接奉上:https://github.com/osquery/osquery/blob/master/docs/wik原创 2020-12-11 18:31:21 · 212 阅读 · 0 评论 -
08_osquery_插件机制
08_osquery_插件机制1. 插件2. 官方例子(Windows实现)2.1. 示例代码2.2. 编译&构建2.3. 运行2.4. 执行查询语句3. 总结1. 插件扩展使用osquery的Thrift API在osqueryi或osqueryd与扩展过程之间进行通信。扩展是单独的过程,它们通过[Thrift](https://thrift.apache.org/)IPC通道与osquery ** core **通信,以注册一个或多个插件或虚拟表2. 官方例子(Windows实现)2原创 2020-12-12 17:57:23 · 331 阅读 · 0 评论