一、 简介
QDoctor(下文中简称QD)是一款非传统意义上的ARK(Anti RootKit)工具。QD既覆盖了传统ARK工具的功能,同时又兼顾了应急响应过程中的常见需求。使用此工具可以极大的提高应急处置的效率、快速定位目标环境中潜在的恶意项目所在位置。
QD的日志导出功能可以让普通用户轻松且全面的提取系统各种信息,导入功能则可以让专业人员可以全面掌握导出该日志主机的各项情况进而快速定位系统中的猫腻。
项目地址:https://github.com/QAX-Anti-Virus/QDoctor/
二、 特色功能
- 一键导出各个标签页下的结构化数据(包括涉及文件的哈希值)。
- 一键导入由其他机器导出的数据,方便排查问题。
- 单文件同时支持X86、X86_64系统,系统支持较为全面。
- 对部分有对抗性的样本具备穿透能力。
部分功能截图:
三、详细功能
除去上述特色功能外,此工具还有传统的ARK工具常见功能,如下:
- 基本系统信息:系统MAC地址、系统版本等信息。
- 自启动项目:注册表常见启动项、计划任务、服务、驱动、WMI。
- 进程:查看进程、线程、模块、内存、句柄、内核回调; 暂停进程或线程执行、查杀进程或线程、卸载模块或内存、关闭句柄、签名验证、Hook扫描。
- 内核:驱动模块、已卸载模块、系统回调函数、微过滤驱动、Sfilter过滤驱动、NDIS回调、SSDT表、ShadowSSDT表、DPC定时器、FSD驱动、对象信息、内核工作队列、设备栈、对象目录、键盘驱动、消息钩子。
- 网络:查看各个进程的网络连接情况,支持IPv4&IPv6的TCP&UDP连接。
- 系统补丁:查看当前系统安装的补丁状况。
- 软件列表:查看当前系统安装的软件列表,内容等价于系统“添加删除程序”中显示的内容。
- 系统日志:应用程序日志、安全日志、Setup日志、系统日志。
- 文件系统:简易文件管理器,可以查看系统各个盘(包括映射到本地的网络位置)下的内容以及强制删除文件。
- 其他:环境变量、共享文件夹信息。
四、支持系统
Windows 7 x86 x86_64 【实测Win7上运行异常,仅只读模式】
Windows 8 x86 x86_64
Windows 8.1 x86 x86_64
Windows 10 x86 x86_64
Windows 11 x86_64
Windows Server 2008 R2 x86_64
Windows Server 2012 x86_64
Windows Server 2012 R2 x86_64
Windows Server 2016 x86_64
Windows Server 2019 x86_64
Windows Server 2022 x86_64说明:
由于ARK工具的特殊性,任何使用场景都有蓝屏风险,请注意保存数据, 我们对该工具造成的数据丢失不承担相关责任。
由于微软已经停发sha1签名,因此Windows 7、Windows 8系统上,请打对应签名补丁或直接禁用驱动签名认证,否则程序初始化会提示失败,具体细节请参考此文章
由于从Windows 10开始,微软使用滚动更新,因此最新版本的系统可能未及时适配。
该工具为我们日常因工作需求所发展的一套“副产品”,由于所有开发人员均为反病毒人员,因此工具界面比较简陋 T.T
关于授权有效期的问题:本质上是为了限制黑产,根据我们日常实践经验当前3个月有效期不会对应急有严重影响。如果您有特别的需求,欢迎跟我们的商务进行联系。
该程序启动后会发起一次到github的更新检查请求,请求的ip地址大概率不位于中国境内,可能会导致防火墙告警。
该程序被安全软件查杀(包括我司)属于预期内现象,请确认签名完整有效后添加白名单使用。