مقدمة

لقد قمنا بتغطية أساسيات ومقدمة Osquery For CyberSecurity. لقد قمنا بالاستعلام عن جداول Windows وMacOs وLinux SQL. كان هذا جزءًا من  TryHackMe Osquery: الأساسيات

أوسكويري هو مفتوح المصدر الوكيل الذي تم إنشاؤه بواسطة فيسبوك في عام 2014. يقوم بتحويل نظام التشغيل إلى قاعدة بيانات علائقية. فهو يسمح لنا بطرح أسئلة من الجداول باستخدام استعلامات SQL، مثل إرجاع قائمة العمليات الجارية، وحساب المستخدم الذي تم إنشاؤه على المضيف، وعملية الاتصال ببعض المجالات المشبوهة. يتم استخدامه على نطاق واسع من قبل محللي الأمن، والمستجيبين للحوادث، وصائدي التهديدات، وما إلى ذلك. ويمكن تثبيت Osquery على منصات متعددة: Windows، لينكسو ماك و فري بي إس دي.

احصل على ملاحظات شهادة OSCP

 

يتم تغطية الأهداف التعليمية التالية:

  • ما هو Osquery وما هي المشكلة التي يحلها؟
  • Osquery في الوضع التفاعلي
  • كيفية استخدام الوضع التفاعلي لـ Osquery للتفاعل مع نظام التشغيل
  • كيفية الانضمام إلى جدولين للحصول على إجابة واحدة

إجابات التحدي

كم عدد الجداول التي يتم إرجاعها عندما نقوم بالاستعلام عن "عملية الجدول" في الوضع التفاعلي لـ Osquery؟

بالنظر إلى مخطط جدول العمليات، أي عمود يعرض معرف العملية لعملية معينة؟

افحص الأمر .help، ما هو عدد أوضاع عرض الإخراج المتوفرة للأمر .mode؟

في الإصدار 5.5.1 من Osquery، كم عدد الجداول المشتركة التي يتم إرجاعها، عندما نختار نظامي التشغيل Linux وWindow؟

في الإصدار 5.5.1 من Osquery، كم عدد الجداول لـ ماك نظام التشغيل متاح؟

في نظام التشغيل ويندوز، ما هو الجدول المستخدم لعرض البرامج المثبتة؟

في نظام التشغيل Windows، ما العمود الذي يحتوي على قيمة التسجيل ضمن جدول التسجيل؟

الغناء Osquery، كم عدد البرامج المثبتة على هذا المضيف؟
باستخدام Osquery، ما هو الوصف للمستخدم جيمس؟

عندما نقوم بتشغيل استعلام البحث التالي، ما هو SID الكامل للمستخدم ذو RID '1009'؟

استفسار: حدد المسار والمفتاح والاسم من التسجيل حيث المفتاح = 'HKEY_USERS'؛

عندما نقوم بتشغيل استعلام البحث التالي، ما هو ملحق متصفح Internet Explorer المثبت على هذا الجهاز؟

استفسار: حدد * من ie_extensions؛

بعد تشغيل الاستعلام التالي ما هو الاسم الكامل للبرنامج الذي تم إرجاعه؟

استفسار: حدد الاسم، install_location من البرامج حيث الاسم مثل '%wireshark%'؛

ما الجدول الذي يخزن دليل تنفيذ العملية في نظام التشغيل Windows؟

يبدو أن أحد المستخدمين قام بتنفيذ برنامج لإزالة الآثار من القرص؛ ما هو اسم هذا البرنامج؟

قم بإنشاء استعلام بحث لتحديد VPN المثبت على هذا المضيف. ما هو اسم البرنامج؟

كم عدد الخدمات التي تعمل على هذا المضيف؟

طاولة com.autoexec يحتوي على قائمة الملفات التنفيذية التي يتم تنفيذها تلقائيًا على الجهاز المستهدف. يبدو أن هناك ملف دفعي يتم تشغيله تلقائيًا. ما هو اسم هذا الملف الدفعي (مع الامتداد .bat)؟

ما هو المسار الكامل للملف الدفعي الموجود في السؤال أعلاه؟ (الأخير في القائمة)

جولة بالفيديو

احصل على ملاحظات ميدانية حول الأمن السيبراني من خلال الانضمام إلى عضوية قناتي على YouTube

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات