Qlog是一款功能强大的Windows安全日志工具,该工具可以为Windows操作系统上的安全相关事件提供丰富的事件日志记录功能。该工具目前仍处于积极开发状态,当前版本为Alpha版本。Qlog没有使用API钩子技术,也不需要在目标系统上安装驱动程序,Qlog指挥使用ETW检索遥测数据。当前版本的Qlog仅支持“进程创建”事件,之后还会添加更多丰富的事件支持。
Qlog可以看作为Windows服务运行,但也可以在控制台模式下运行,因此我们可以将丰富的事件信息直接传输到控制台进行处理。
工作机制
Qlog可以从ETW读取数据,并将丰富的事件信息写入Qlog的事件通道,工具将会创建并使用名为“QMonitor”的新事件源,并写入Windows事件日志中。
以下是Qlog的事件处理顺序:
创建ETW会话,并订阅相关内核和用户区ETW Provider; 从ETW提供程序读取事件; 丰富的事件支持; 将丰富的事件写入事件日志通道QLOG;
工具依赖&安装&使用
Qlog的运行需要在本地系统中安装并配置好.NET Framework >= 4.7.2环境。
接下来,我们需要使用下列命令将该项目克隆至本地:
git clone https://github.com/threathunters-io/QLOG.git
接下来,我们可以使用下列命令以交互式终端模式运行Qlog:
qlog.exe
或者,以Windows服务的方式运行:
#安装服务 qlog.exe -i #卸载服务 qlog.exe -u
除教程外,本网站大部分文章来自互联网,如果有内容冒犯到你,请联系我们删除!