优选主流主机商
任何主机均需规范使用
当前位置:搬瓦工中文网 > 运维 > 正文

Qlog Windows安全日志分析工具:全面保护系统安全,深度挖掘日志数据

2026-03-09 07:33:03 分类:运维 阅读(12)

关于Qlog

Qlog是一款功能强大的Windows安全日志工具,该工具可以为Windows操作系统上的安全相关事件提供丰富的事件日志记录功能。该工具目前仍处于积极开发状态,当前版本为Alpha版本。Qlog没有使用API钩子技术,也不需要在目标系统上安装驱动程序,Qlog指挥使用ETW检索遥测数据。当前版本的Qlog仅支持“进程创建”事件,之后还会添加更多丰富的事件支持。Qlog可以看作为Windows服务运行,但也可以在控制台模式下运行,因此我们可以将丰富的事件信息直接传输到控制台进行处理。

工作机制

Qlog可以从ETW读取数据,并将丰富的事件信息写入Qlog的事件通道,工具将会创建并使用名为“QMonitor”的新事件源,并写入Windows事件日志中。

以下是Qlog的事件处理顺序:

  • 创建ETW会话,并订阅相关内核和用户区ETW Provider;
  • 从ETW提供程序读取事件;
  • 丰富的事件支持;
  • 将丰富的事件写入事件日志通道QLOG;

工具依赖&安装&使用

Qlog的运行需要在本地系统中安装并配置好.NET Framework >= 4.7.2环境。

接下来,我们需要使用下列命令将该项目克隆至本地:

  1. gitclonehttps://github.com/threathunters-io/QLOG.git

接下来,我们可以使用下列命令以交互式终端模式运行Qlog:

  1. qlog.exe

或者,以Windows服务的方式运行:

  1. #安装服务
  3. qlog.exe-i
  5. #卸载服务
  7. qlog.exe-u

进程处理事件数据输出

  1. {
  3. “EventGuid”:”68795fe8-67e7-410b-a5c0-8364746d7ffe”,
  5. “StartTime”:”2021-07-11T11:06:56.9621746+02:00″,
  7. “QEventID”:100,
  9. “QType”:”ProcessCreate”,
  11. “Username”:”TESTOS\\TESTUSER”,
  13. “Imagefilename”:”TEAMS.EXE”,
  15. “KernelImagefilename”:”TEAMS.EXE”,
  17. “OriginalFilename”:”TEAMS.EXE”,
  19. “Fullpath”:”C:\\Users\\TESTUSER\\AppData\\Local\\Microsoft\\Teams\\current\\Teams.exe”,
  21. “PID”:21740,
  23. “Commandline”:”\”C:\\Users\\TESTUSER\\AppData\\Local\\Microsoft\\Teams\\current\\Teams.exe\”–type=renderer–autoplay-policy=no-user-gesture-required–disable-background-timer-throttling–field-trial-handle=1668,499009601563875864,12511830007210419647,131072–enable-features=WebComponentsV0Enabled–disable-features=CookiesWithoutSameSiteMustBeSecure,SameSiteByDefaultCookies,SpareRendererForSitePerProcess–lang=de–enable-wer–ms-teams-less-cors=522133263–app-user-model-id=com.squirrel.Teams.Teams–app-path=\”C:\\Users\\jocke”,
  25. “Modulecount”:41,
  27. “TTPHash”:”42AC63285408F5FD91668B16F8E9157FD97046AB63E84117A14E31A188DDC62F”,
  29. “Imphash”:”F14F00FA1D4C82B933279C1A28957252″,
  31. “sha256″:”155625190ECAA90E596CB258A07382184DB738F6EDB626FEE4B9652FA4EC1CC2”,
  33. “md5″:”9453BC2A9CC489505320312F4E6EC21E”,
  35. “sha1″:”7219CB54AC535BA55BC1B202335A6291FDC2D76E”,
  37. “ProcessIntegrityLevel”:”None”,
  39. “isOndisk”:true,
  41. “isRunning”:true,
  43. “Signed”:”Signaturevalid”,
  45. “AuthenticodeHash”:”B8AD58EE5C35B3F80C026A318EEA34BABF6609C077CB3D45AEE69BF5C9CF8E11″,
  47. “Signatures”:[
  49. {
  51. “Subject”:”CN=MicrosoftCorporation,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  53. “Issuer”:”CN=MicrosoftCodeSigningPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  55. “NotBefore”:”15.12.202022:24:20″,
  57. “NotAfter”:”02.12.202122:24:20″,
  59. “DigestAlgorithmName”:”SHA256″,
  61. “Thumbprint”:”E8C15B4C98AD91E051EE5AF5F524A8729050B2A2″,
  63. “TimestampSignatures”:[
  65. {
  67. “Subject”:”CN=MicrosoftTime-StampService,OU=ThalesTSSESN:3BBD-E338-E9A1,OU=MicrosoftAmericaOperations,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  69. “Issuer”:”CN=MicrosoftTime-StampPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  71. “NotBefore”:”12.11.202019:26:02″,
  73. “NotAfter”:”11.02.202219:26:02″,
  75. “DigestAlgorithmName”:”SHA256″,
  77. “Thumbprint”:”E8220CE2AAD2073A9C8CD78752775E29782AABE8″,
  79. “Timestamp”:”15.06.202100:39:50+02:00″
  81. }
  83. ]
  85. },
  87. {
  89. “Subject”:”CN=MicrosoftCorporation,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  91. “Issuer”:”CN=MicrosoftCodeSigningPCA2011,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  93. “NotBefore”:”15.12.202022:31:47″,
  95. “NotAfter”:”02.12.202122:31:47″,
  97. “DigestAlgorithmName”:”SHA256″,
  99. “Thumbprint”:”C774204049D25D30AF9AC2F116B3C1FB88EE00A4″,
  101. “TimestampSignatures”:[
  103. {
  105. “Subject”:”CN=MicrosoftTime-StampService,OU=ThalesTSSESN:F87A-E374-D7B9,OU=MicrosoftOperationsPuertoRico,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  107. “Issuer”:”CN=MicrosoftTime-StampPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  109. “NotBefore”:”14.01.202120:02:23″,
  111. “NotAfter”:”11.04.202221:02:23″,
  113. “DigestAlgorithmName”:”SHA256″,
  115. “Thumbprint”:”ED2C601EDD49DD2A934D2AB32DCACC19940161EF”,
  117. “Timestamp”:”15.06.202100:39:53+02:00″
  119. }
  121. ]
  123. }
  125. ],
  127. “ParentProcess”:{
  129. “EventGuid”:null,
  131. “StartTime”:”2021-07-11T09:54:28.9558001+02:00″,
  133. “QEventID”:100,
  135. “QType”:”ProcessCreate”,
  137. “Username”:”TEST-OS\\TESTUSER”,
  139. “Imagefilename”:””,
  141. “KernelImagefilename”:””,
  143. “OriginalFilename”:”TEAMS.EXE”,
  145. “Fullpath”:”C:\\Users\\TESTUSER\\AppData\\Local\\Microsoft\\Teams\\current\\Teams.exe”,
  147. “PID”:16232,
  149. “Commandline”:”C:\\Users\\TESTUSER\\AppData\\Local\\Microsoft\\Teams\\current\\Teams.exe”,
  151. “Modulecount”:162,
  153. “TTPHash”:””,
  155. “Imphash”:”F14F00FA1D4C82B933279C1A28957252″,
  157. “sha256″:”155625190ECAA90E596CB258A07382184DB738F6EDB626FEE4B9652FA4EC1CC2”,
  159. “md5″:”9453BC2A9CC489505320312F4E6EC21E”,
  161. “sha1″:”7219CB54AC535BA55BC1B202335A6291FDC2D76E”,
  163. “ProcessIntegrityLevel”:”Medium”,
  165. “isOndisk”:true,
  167. “isRunning”:true,
  169. “Signed”:”Signaturevalid”,
  171. “AuthenticodeHash”:”B8AD58EE5C35B3F80C026A318EEA34BABF6609C077CB3D45AEE69BF5C9CF8E11″,
  173. “Signatures”:[
  175. {
  177. “Subject”:”CN=MicrosoftCorporation,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  179. “Issuer”:”CN=MicrosoftCodeSigningPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  181. “NotBefore”:”15.12.202022:24:20″,
  183. “NotAfter”:”02.12.202122:24:20″,
  185. “DigestAlgorithmName”:”SHA256″,
  187. “Thumbprint”:”E8C15B4C98AD91E051EE5AF5F524A8729050B2A2″,
  189. “TimestampSignatures”:[
  191. {
  193. “Subject”:”CN=MicrosoftTime-StampService,OU=ThalesTSSESN:3BBD-E338-E9A1,OU=MicrosoftAmericaOperations,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  195. “Issuer”:”CN=MicrosoftTime-StampPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  197. “NotBefore”:”12.11.202019:26:02″,
  199. “NotAfter”:”11.02.202219:26:02″,
  201. “DigestAlgorithmName”:”SHA256″,
  203. “Thumbprint”:”E8220CE2AAD2073A9C8CD78752775E29782AABE8″,
  205. “Timestamp”:”15.06.202100:39:50+02:00″
  207. }
  209. ]
  211. },
  213. {
  215. “Subject”:”CN=MicrosoftCorporation,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  217. “Issuer”:”CN=MicrosoftCodeSigningPCA2011,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  219. “NotBefore”:”15.12.202022:31:47″,
  221. “NotAfter”:”02.12.202122:31:47″,
  223. “DigestAlgorithmName”:”SHA256″,
  225. “Thumbprint”:”C774204049D25D30AF9AC2F116B3C1FB88EE00A4″,
  227. “TimestampSignatures”:[
  229. {
  231. “Subject”:”CN=MicrosoftTime-StampService,OU=ThalesTSSESN:F87A-E374-D7B9,OU=MicrosoftOperationsPuertoRico,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  233. “Issuer”:”CN=MicrosoftTime-StampPCA2010,O=MicrosoftCorporation,L=Redmond,S=Washington,C=US”,
  235. “NotBefore”:”14.01.202120:02:23″,
  237. “NotAfter”:”11.04.202221:02:23″,
  239. “DigestAlgorithmName”:”SHA256″,
  241. “Thumbprint”:”ED2C601EDD49DD2A934D2AB32DCACC19940161EF”,
  243. “Timestamp”:”15.06.202100:39:53+02:00″
  245. }
  247. ]
  249. }
  251. ],
  253. “ParentProcess”:null
  255. }
  257. }

你可能感兴趣的相关文章:

  1. Discuz! X2.5与UCenter通信失败:常见问题排查及有效解决方案详解
  2. 帝国CMS技巧:高效整合双表数据,实现精准字段排序优化指南
  3. WordPress秘籍:详解简码格式标签编写精髓,轻松掌握高效技巧
  4. Ecshop伪静态设置后产品列表页切换显示方式失效解决方案
  5. dedecms 5.6 分页样式定制教程:轻松修改代码实现个性化分页效果
  6. 如何在WordPress中限制非管理员用户每篇文章只能评论一次?防止重复评论技巧详解
AD:【域名主机商优惠推送QQ群】174824412
未经允许不得转载:搬瓦工中文网 » Qlog Windows安全日志分析工具:全面保护系统安全,深度挖掘日志数据

相关推荐

外贸主机

TOP虚拟主机推荐

虚拟主机相比云服务器而言,节省大量的运维时间,直接采用主机商自带cPanel和Plesk面板管理,用户仅需用心建站即可,无需担心运维

最新文章

随机文章

热门标签

美国vps (143)美国云服务器 (142)美国独立服务器 (117)香港vps (109)美国云主机 (102)美国服务器租用 (99)美国洛杉矶vps (94)美国服务器租赁 (91)洛杉矶vps (87)美国服务器价格 (82)香港云服务器 (76)日本VPS (76)美国独立服务器租用 (68)

网站声明内容

我们网站是来分享便宜VPS服务器、国内外主机商家优惠和正规运维技术教程。用户选择任何主机均需合法、正规使用,切勿用于不良和违规用途,否则导致服务器IP被封或者承担相关法律责任。

我们网站介绍的均是主机商和正规技术教程使用,不销售任何主机,不提供任何技术服务,我们用户购买的主机必须用于合法用途。切记切记!!

网站内容来自主机商优惠信息,以及网上运维和教程技术参考自网络,参考使用注意备份,不确保技术的完整性。

投稿和联络方式:easyfm@outlook.com

QQ联系:1392575940