之前推荐了一款应急响应工具，一些师傅留言说报毒等一些问题。推荐这款可直接进行平替。

QDoctor(下文中简称QD)是一款非传统意义上的ARK(Anti RootKit)工具。

QD既覆盖了传统ARK工具的功能，同时又兼顾了应急响应过程中的常见需求。使用此工具可以极大地提高应急处置的效率、快速定位目标环境中潜在的恶意项目所在位置。

QD的日志导出功能可以让普通用户轻松且全面的提取系统各种信息，导入功能则可以让专业人员可以全面掌握导出该日志主机的各项情况进而快速定位系统中的猫腻。

如果您手头有威胁情报资源，结合QD导出的结构化日志，可以搭建一套自动化威胁分析系统（另外一种形态的沙箱）。

• 基本系统信息：系统MAC地址、系统版本等信息。
• 自启动项目：注册表常见启动项、计划任务、服务、驱动、WMI。
• 进程：查看进程、线程、模块、内存、句柄、内核回调；暂停进程或线程执行、查杀进程或线程、卸载模块或内存、关闭句柄、签名验证、Hook扫描。
• 内核：驱动模块、已卸载模块、系统回调函数、微过滤驱动、Sfilter过滤驱动、NDIS回调、SSDT表、ShadowSSDT表、DPC定时器、FSD驱动、对象信息、内核工作队列、设备栈、对象目录、键盘驱动、消息钩子。
• 网络：查看各个进程的网络连接情况，支持IPv4&IPv6的TCP&UDP连接。
• 系统补丁：查看当前系统安装的补丁状况。
• 软件列表：查看当前系统安装的软件列表，内容等价于系统“添加删除程序”中显示的内容。
• 系统日志：应用程序日志、安全日志、Setup日志、系统日志。
• 文件系统：简易文件管理器，可以查看系统各个盘（包括映射到本地的网络位置）下的内容以及强制删除文件。
• 其他：环境变量、共享文件夹信息。

支持系统

• Windows 7   x86 x86_64
• Windows 8   x86 x86_64
• Windows 8.1 x86 x86_64
• Windows 10  x86 x86_64
• Windows 11      x86_64
• Windows Server 2008 R2 x86_64
• Windows Server 2012    x86_64
• Windows Server 2012 R2 x86_64
• Windows Server 2016    x86_64
• Windows Server 2019    x86_64
• Windows Server 2022    x86_64

特别提示

1. 由于ARK工具的特殊性，任何使用场景都有蓝屏风险，请注意保存数据，数据丢失责任自行承担。

下载地址：

原文始发于微信公众号（小白爱学习Sec）：一款针对Windows的应急响应工具