年轻人的第一款应急响应工具

工具介绍

QDoctor(下文中简称QD)是一款非传统意义上的ARK(Anti RootKit)工具。

QD既覆盖了传统ARK工具的功能，同时又兼顾了应急响应过程中的常见需求。使用此工具可以极大的提高应急处置的效率、快速定位目标环境中潜在的恶意项目所在位置。

QD的日志导出功能可以让普通用户轻松且全面的提取系统各种信息，导入功能则可以让专业人员可以全面掌握导出该日志主机的各项情况进而快速定位系统中的猫腻。

如果您手头有威胁情报资源，结合QD导出的结构化日志，可以搭建一套自动化威胁分析系统（另外一种形态的沙箱）。

除去上述特色功能外，此工具还有传统的ARK工具常见功能，如下：

基本系统信息：系统MAC地址、系统版本等信息。
自启动项目：注册表常见启动项、计划任务、服务、驱动、WMI。
进程：查看进程、线程、模块、内存、句柄、内核回调；暂停进程或线程执行、查杀进程或线程、卸载模块或内存、关闭句柄、签名验证、Hook扫描。
内核：驱动模块、已卸载模块、系统回调函数、微过滤驱动、Sfilter过滤驱动、NDIS回调、SSDT表、ShadowSSDT表、DPC定时器、FSD驱动、对象信息、内核工作队列、设备栈、对象目录、键盘驱动、消息钩子。
网络：查看各个进程的网络连接情况，支持IPv4&IPv6的TCP&UDP连接。
系统补丁：查看当前系统安装的补丁状况。
软件列表：查看当前系统安装的软件列表，内容等价于系统“添加删除程序”中显示的内容。
系统日志：应用程序日志、安全日志、Setup日志、系统日志。
文件系统：简易文件管理器，可以查看系统各个盘（包括映射到本地的网络位置）下的内容以及强制删除文件。
其他：环境变量、共享文件夹信息。