问题描述
我需要一些帮助。我使用什么语法来使用 osquery 搜索可执行文件? 例如,我正在寻找 winword.exe、excel.exe。提前致谢。
解决方法
通常,osquery 不用于彻底搜索磁盘。这种操作往往非常缓慢且容易失败。
更常见的是使用 osquery 检查已安装的程序。
这可以通过 programs table 完成。虽然这样不会直接找到exe,
我不明白您想在此实现什么,但您也可以搜索当前正在运行的进程并过滤掉所有正在运行的不同可执行文件。您不会从中获得所有 pid,但至少会获得当前正在运行的所有 EXE 的列表
SELECT count(*) count,pid,name,state,root,on_disk,total_size from processes where name like '%exe' group by name;