QDoctor年轻人的第一款应急响应工具

年轻人的第一款应急响应工具；)

简介

QDoctor(下文中简称QD)是一款非传统意义上的ARK(Anti RootKit)工具。

QD既覆盖了传统ARK工具的功能，同时又兼顾了应急响应过程中的常见需求。使用此工具可以极大的提高应急处置的效率、快速定位目标环境中潜在的恶意项目所在位置。

QD的日志导出功能可以让普通用户轻松且全面的提取系统各种信息，导入功能则可以让专业人员可以全面掌握导出该日志主机的各项情况进而快速定位系统中的猫腻。

如果您手头有威胁情报资源，结合QD导出的结构化日志，可以搭建一套自动化威胁分析系统（另外一种形态的沙箱）。

除去上述特色功能外，此工具还有传统的ARK工具常见功能，如下：

基本系统信息：系统MAC地址、系统版本等信息。
自启动项目：注册表常见启动项、计划任务、服务、驱动、WMI。
进程：查看进程、线程、模块、内存、句柄、内核回调；暂停进程或线程执行、查杀进程或线程、卸载模块或内存、关闭句柄、签名验证、Hook扫描。
内核：驱动模块、已卸载模块、系统回调函数、微过滤驱动、Sfilter过滤驱动、NDIS回调、SSDT表、ShadowSSDT表、DPC定时器、FSD驱动、对象信息、内核工作队列、设备栈、对象目录、键盘驱动、消息钩子。
网络：查看各个进程的网络连接情况，支持IPv4&IPv6的TCP&UDP连接。
系统补丁：查看当前系统安装的补丁状况。
软件列表：查看当前系统安装的软件列表，内容等价于系统“添加删除程序”中显示的内容。
系统日志：应用程序日志、安全日志、Setup日志、系统日志。
文件系统：简易文件管理器，可以查看系统各个盘（包括映射到本地的网络位置）下的内容以及强制删除文件。
其他：环境变量、共享文件夹信息。

由于ARK工具的特殊性，任何使用场景都有蓝屏风险，请注意保存数据, 我们对该工具造成的数据丢失不承担相关责任。
由于微软已经停发sha1签名，因此Windows 7、Windows 8系统上，请打对应签名补丁或直接禁用驱动签名认证，否则程序初始化会提示失败，具体细节请参考此文章
由于从Windows 10开始，微软使用滚动更新，因此最新版本的系统可能未及时适配。
该工具为我们日常因工作需求所发展的一套“副产品”，由于所有开发人员均为反病毒人员，因此工具界面比较简陋 T.T
关于授权有效期的问题：本质上是为了限制黑产，根据我们日常实践经验当前3个月有效期不会对应急有严重影响。如果您有特别的需求，欢迎跟我们的商务进行联系。
该程序启动后会发起一次到github的更新检查请求，请求的ip地址大概率不位于中国境内，可能会导致防火墙告警。
该程序被安全软件查杀（包括我司）属于预期内现象，请确认签名完整有效后添加白名单使用。