01 项目地址
https://github.com/QAX-Anti-Virus/QDoctor/02 项目介绍
项目描述
QDoctor(下文中简称QD)是一款非传统意义上的ARK(Anti RootKit)工具。QD既覆盖了传统ARK工具的功能,同时又兼顾了应急响应过程中的常见需求。使用此工具可以极大的提高应急处置的效率、快速定位目标环境中潜在的恶意项目所在位置。QD的日志导出功能可以让普通用户轻松且全面的提取系统各种信息,导入功能则可以让专业人员可以全面掌握导出该日志主机的各项情况进而快速定位系统中的猫腻。如果您手头有威胁情报资源,结合QD导出的结构化日志,可以搭建一套自动化威胁分析系统(另外一种形态的沙箱)。
功能
基本系统信息:系统MAC地址、系统版本等信息。自启动项目:注册表常见启动项、计划任务、服务、驱动、WMI。进程:查看进程、线程、模块、内存、句柄、内核回调; 暂停进程或线程执行、查杀进程或线程、卸载模块或内存、关闭句柄、签名验证、Hook扫描。内核:驱动模块、已卸载模块、系统回调函数、微过滤驱动、Sfilter过滤驱动、NDIS回调、SSDT表、ShadowSSDT表、DPC定时器、FSD驱动、对象信息、内核工作队列、设备栈、对象目录、键盘驱动、消息钩子。网络:查看各个进程的网络连接情况,支持IPv4&IPv6的TCP&UDP连接。系统补丁:查看当前系统安装的补丁状况。软件列表:查看当前系统安装的软件列表,内容等价于系统“添加删除程序”中显示的内容。系统日志:应用程序日志、安全日志、Setup日志、系统日志。文件系统:简易文件管理器,可以查看系统各个盘(包括映射到本地的网络位置)下的内容以及强制删除文件。其他:环境变量、共享文件夹信息。
注:工具仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。信息及工具收集于互联网,真实性及安全性自测!!
原文始发于微信公众号(GSDK安全团队):应急响应工具 - QDoctor
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论