revitalyr/osquery-raven-extension

# raven-extension 这是 osquery 服务的扩展，将添加以下新表格： | 表格 | 描述 | | ----- | ----------- | |lightgrep_mem|转储物理内存（Linux 实现使用 [`avml`](https://github.com/microsoft/avml），Windows 使用 [`winpmem`](https://github.com/Velocidex/c-aff4/releases)），并使用 lightgrep 对选定的关键字或关键字文件进行搜索| |lightgrep_virtual_mem|与 `lightgrep_mem` 相同，但针对进程的虚拟内存| |lightgrep_host|使用 bulk-extractor 在文件或硬盘设备中搜索关键字。偏移量解析（如果存在）到文件| |quick_hash|计算文件、目录的快速哈希（前128字节的MD5）| |windows_events_history|与 [`windows_events`](https://osquery.io/schema/4.4.0/#windows_events) 相同，但为非事件驱动。相同功能即将[在此](https://github.com/osquery/osquery/pull/6563)推出| |amcache 表格|amcache_application, amcache_application_file, amcache_application_shortcut, amcache_device_container, amcache_device_pnp, amcache_driver_binary, amcache_driver_package| # 源代码结构 | 文件夹 | 描述 | | ------ | ------ | |bin-utils|Windows 下脚本的二进制工具| |osquery|下载和构建 osquery 可执行文件及构建扩展所需的库的构建脚本| |osquery/docker|在 Linux 下构建（和运行测试）的 docker 脚本| |osquery/patches|用于增强 osquery 构建过程和功能的不同补丁| |raven-extension/cmake | 生成 Visual Studio 项目文件所需的通用 cmake 文件（仅限 Windows）| |raven-extension/third-party|下载和构建第三方库，如 `bulk-extractor`、`gtest`、`icu`、`lightgrep`| |raven-extension/common|各处使用的通用源文件| |raven-extension/lightgrep-wrapper|lightgrep C-api 的 C++ 封装| |raven-extension/memkeeper|用于保存内存数据的工具，仅用于测试| |raven-extension/mlgrep|与 `lightgrep_mem` 表格功能相同的独立工具| [使用示例，表格详情。](https://confluence.strozfriedberg.com/display/RAVEN/osquery+lightgrep_mem_extension+sample+usage)

标签：Amcache, Bash脚本, HTTP工具, LightGREM, osquery, Raven, SecList, Syscache, 事件日志, 内存取证, 取证工具, 后渗透, 域环境安全, 快速哈希, 扩展, 数字取证, 数据包嗅探, 文件哈希, 无线安全, 注册表, 流量嗅探, 网络安全审计, 自动化脚本, 请求拦截, 运维安全