开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在没有WMI的VBScript中检索进程的完整路径

，可以通过使用Shell对象和WScript对象来实现。

首先，我们可以使用Shell对象的Exec方法执行一个命令行，并将结果保存在一个对象中。然后，通过该对象的StdOut属性可以获取命令行的输出结果。

接下来，我们可以使用WScript对象的CreateObject方法创建一个WScript.Shell对象，然后使用该对象的Run方法执行一个命令行，并将结果保存在一个对象中。

下面是一个示例代码：

Set objShell = CreateObject("WScript.Shell")
Set objExec = objShell.Exec("tasklist /FI ""IMAGENAME eq notepad.exe"" /FO LIST")
strOutput = objExec.StdOut.ReadAll

WScript.Echo "进程路径：" & GetProcessPath(strOutput)

Function GetProcessPath(strOutput)
    arrLines = Split(strOutput, vbCrLf)
    For Each strLine in arrLines
        If InStr(strLine, "Image Path") > 0 Then
            GetProcessPath = Trim(Split(strLine, ":")(1))
            Exit Function
        End If
    Next
    GetProcessPath = "未找到进程路径"
End Function

上述代码中，我们使用了tasklist命令来列出所有的进程，并通过过滤条件"IMAGENAME eq notepad.exe"来获取指定进程（此处以notepad.exe为例）的信息。然后，通过GetProcessPath函数从命令行输出中提取进程的完整路径。

这是一个简单的示例，你可以根据实际需求进行修改和扩展。在实际应用中，你可能需要根据不同的操作系统和进程名称来调整命令行和过滤条件。

对于腾讯云的相关产品和产品介绍链接地址，由于要求不能提及具体的云计算品牌商，我无法给出具体的推荐。但是，腾讯云提供了丰富的云计算服务，包括云服务器、云数据库、云存储等，你可以访问腾讯云的官方网站，了解更多相关信息。

相关搜索:firestore中有没有一种方法可以获取使用python中的collection_group查询检索的文档的完整文档路径？linux中显示完整的路径 Python - JsonPath在检索到的路径中插入值使用完整路径运行的MAC子进程不起作用单元测试中的API完整路径在c程序中，我们如何获得.exe文件的完整路径？在JSON中提供完整的文件路径在PyQt中检索文件的路径在VBScript中调整对象内部数组的大小在vbscript中，如何获取运行vb脚本的cmd.exe的进程id？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Vbs脚本编程简明教程

◎Vbs脚本编程简明教程之一 —为什么要使用Vbs？

05

狩猎二进制重命名

ATT&CK 技术项编号为 T1036 的二进制重命名技术，正在被越来越多的恶意软件所采用，本文介绍如何使用多种方法对该技术进行监控与检测。

02

WMI ——重写版

本文是以WMI的重写版，本来这份笔记会更长，原版的笔记以Black Hat 2015的Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor为主要学习资料，在笔记写到大概一万字的时候，Typora 中保存的内容部分丢失。于是重新整理，有了这份，我认为精简版的WMI笔记。

01

黑客(红队)攻防中内网环境下WMI的利用

WMI，全称Windows Management Instrumentation，是微软开发的一种用于管理Windows系统的工具。你可以把它想象成一个数据库工具，它存储了关于你的电脑的各种信息，比如系统、应用程序、网络和设备等。

00

Lateral Movement之WMI事件订阅

在之前，我曾在安全客分享过《wmi攻击与防御》的相关议题。里面介绍了关于wmi的一些相关内容，其中提到了使用wmi进行横向移动的方法，只是当时由于时间原因并未对细节进行讲解，在成熟的企业内网中，如何优雅的进行横向移动是需要每个安全人员需要去注意的点。比如如何使用CobaltStrike、Impacket等工具进行横向移动时最小化操作的技巧等。本文将讲解如何使用wmi事件订阅来进行横向移动。

02

Windows WMI 详解之WMI事件

EventFilter（事件过滤器）存储在一个ROOT\subscription:__EventFilter对象的实例里，其主要作用是使用WMI的查询语言来过滤审核特定的事件，一个事件过滤器接受一个WMI事件查询参数，同时EventFilter事件过滤器可以对Intrinsic Events (内部事件)和Extrinsic Events (外部事件）进行事件查询。

01

WMI攻击与安全防御

WMI是一项windows管理技术，其全称是Windows Management Instrumentation，即Windows管理规范。大多数基于Windows的软件依赖于此服务。因此有些黑客会针对WMI进行攻击。本文介绍了 WMI 的攻击和安全防御方法，以供大家交流讨论。

03

绕过杀软！SQL Server Transact-SQL 的无文件攻击姿势

近日，深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件，被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序，并且难以彻底清除。经分析排查，该木马通过弱口令爆破SQL Server服务器后，利用sqlserver Transact-SQL存储C#编译恶意代码，通过MSSQL作业定时执行存储过程，在受害主机下载恶意程序。

01

[红队专用]如何使用Phant0m在红队活动中关闭Windows事件日志工具

Phant0m是一款针对红队研究人员设计的安全测试工具，在该工具的帮助下，广大红队研究人员可以在渗透测试活动中轻松关闭Windows事件日志工具。

03

Windows WMI 详解（一）

WMI全称为Windows Management Instrumentation，即Windows管理规范，是Windows 2K/XP管理系统的核心。它属于管理数据和操作的基础模块，设计WMI的初衷是为了能达到一种通用性，通过WMI去操作系统、应用程序等去管理本地或者远程资源。它支持分布式组件对象模型（DCOM）和Windws远程管理（WinRM），用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能，对于其他的Win32操作系统来讲WMI是一个非常不错的插件，同时也是测试人员在攻防实战中一个很完美的“无文件攻击”入口途径。

01

WMI技术介绍和应用——查询正在运行的进程信息

在《WMI技术介绍和应用——使用VC编写一个半同步查询WMI服务的类》一文中，我们介绍到了一个半同步查询WMI类的框架。本文将是该技术的一个应用，介绍如何使用WMI技术查询正在运行的进程信息。（转载请指明出于breaksoftware的csdn博客）

03

使用Powershell 获取内网服务器信息和状态

在内网渗透过程中，有时我们是需要了解不同的服务器的基本软硬件配置信息的，同时也可能需要将它们生成报告进行归档，那么通过 Powershell，我们也能够轻松的去完成这个过程。本文中，我们将主要说明如何通过 Powershell 收集系统信息和生成报告。

04

红队技巧-常规横向手法

域内横向移动技术是红队作战在域内最基本技术之一，红队人员会利用该技术，以被攻陷的系统为跳板，通过已经收集的凭据和密码，来访问域内其他主机，扩大战果，最终目的是获取到dc的访问控制权限。

02

【脚本】python中wmi介绍和使用

一：WMI基础知识 =================================================================== WMI 最初于1998年作为一个附加组件与 Windows NT 4.0 Service Pack 4 一起发行，是内置在Windows 2000、 Windows XP和Windows Server 2003 系列操作系统中核心的管理支持技术。基于由 Distributed Management Task Force (DMTF) 所监督的业界标准，WMI是一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源。大多用户习惯于使用众多的图形化管理工具来管理Windows资源，在WMI之前这些工具都是通过 Win32应用程序编程接口(Application ProgrammingInterfaces，API)来访问和管理Windows资源的。只要你熟悉系统编程你就知道API有多么重要。但是大多数脚本语言都不能直接调用Win32 API，WMI的出现使得系统管理员可以通过一种简便的方法即利用常见的脚本语言实现常用的系统管理任务。利用WMI需要和脚本如WSH和VBScript结合起来，可以实现的功能大家可以看微软的MSDN文档。在编写我们自己的脚本之前，我们需要对WMI的体系结构有个基本的了解。如图一：(1.gif)

02

WMI讲解(是什么，做什么，为什么)

WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁，尤其在横向移动中，利用wmic或者powershell的WMI模块操作Win32来达到渗透的目的。笔者在学习了WMI后，将其分为四个模块（讲解、横向移动、权限提升、攻击检测），并写了四篇文章来讲解，还追加了小知识点的编写（WBEMTEST工具使用，普通用户使用wmic）。笔者能力有限，在几篇中若有未讲人话之处，望谅解。

01

WMIC命令的利用技巧

WMIC扩展WMI（Windows Management Instrumentation，Windows管理工具），提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要用WMI管理系统是很困难的。WMIC改变了这种情况。

03

DevOpt：WMIC命令使用技巧

WMIC扩展WMI(Windows Management Instrumentation，Windows管理工具)，提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要用WMI管理系统是很困难的。WMIC改变了这种情况。

01

WMI 攻击手法研究 – 基础篇 (第一部分)

这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell 有个基本的了解，那么对阅读本篇文章会有所帮助，但这不是必需的。

02

wmic命令解析与实例

描述：WMI的全名为”Windows Management Instrumentation - Windows管理规范“, 从Windows 98开始 Windows操作系统都支持WMI, 它是由一系列工具集组成的可以在本地或者远程管理计算机系统。

02

从远程计算机获取WMI数据

您可以使用本主题中的过程和代码示例来创建完整的WMI客户端应用程序，该应用程序执行COM初始化，连接到远程计算机上的WMI，半同步获取数据，然后清理。

01

利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

症状①：通过快捷方式启动浏览器，首页跳转到2345以及hao123网址导航页，切系统内安装的多款浏览器（IE、Chrome、Firefox、Opera、Safari、Maxthon）症状相同

02

内网渗透之哈希传递攻击

大多数渗透测试人员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账户相关的密码散列值(通常是 NTLM Hash)来进行攻击。在域环境中，用户登录计算机时使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码，因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。同时，通过哈希传递攻击攻击者不需要花时间破解哈希密在Windows网络中，散列值就是用来证明身份的（有正确的用户名和密码散列值，就能通过验证），而微软自己的产品和工具显然不会支持这种攻击，于是，攻击者往往会使用第三方工具来完成任务。在Windows Server2012R2及之后版本的操作系统中，默认在内存中不会记录明文密码，因此，攻击者往往会使用工具将散列值传递到其他计算机中，进行权限验证，实现对远程计算机的控制。

02

C/C++ 运用WMI接口查询系统信息

Windows Management Instrumentation（WMI）是一种用于管理和监视Windows操作系统的框架。它为开发人员、系统管理员和自动化工具提供了一种标准的接口，通过这个接口，可以获取有关计算机系统硬件、操作系统和应用程序的信息，以及对系统进行管理和控制的能力。

05

PS常用命令之系统WMI查看和操作相关命令

[TOC] 0x00 前言简述 Q: 什么是WMI? 答: WMI出现至今已经多年，但很多人对它并不熟悉。知道它很好很强大，但不知道它从哪里来，怎么工作，使用范围是什么？ WMI有一组API我们不管

01

[网络安全] 三十二.Python攻防之获取Windows主机信息、注册表、U盘痕迹和回收站(1)

WMI(Windows Management Instrumentation) 是一项核心的Windows管理技术，WMI模块可用于获取Windows内部信息。WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。

01

利用 RDPWRAP 做 RDP 劫持的威胁检测

这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成，后续将陆续发布，敬请期待！

01

[Python攻防] 一.获取Windows主机信息、注册表、U盘历史痕迹和回收站文件

声明：本人坚决反对利用教学方法进行恶意攻击的行为，一切错误的行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解技术背后的原理，更好地进行安全防护。虽然作者是一名安全小白，但会保证每一篇文章都会很用心地撰写，希望这些基础性文章对你有所帮助，在安全路上一起前行。

02

wmic命令解析与实例

描述：wmic.exe是Windows Management Instrumentation，Windows管理工具，提供了从命令行接口和批命令脚本执行系统管理的支持。其不能直接进行执行，需要切换终端到C:\Windows\System32\wbem位置下才能进行调用；

06

VBScript详解(一)

Vbs是一种Windows脚本，它的全称是:Microsoft Visual BasicScript Editon.(微软公司可视化BASIC脚本版)，VBS是Visual Basic的的一个抽象子集，是系统内置的，用它编写的脚本代码不能编译成二进制文件，直接由Windows系统执行（实际是一个叫做宿主host的解释源代码并执行），高效、易学，但是大部分高级语言能干的事情，它基本上都具备，它可以使各种各样的任务自动化，可以使你从重复琐碎的工作中解脱出来，极大的提高工作效率。

02

浅谈无文件攻击

与大多数恶意软件不同，“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹，而是直接将恶意代码写入内存或注册表中。由于没有病毒文件，传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而，“无文件”攻击的定义已经逐渐扩大化，那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。

01

警惕：Vollgar僵尸网络每天成功感染近3000台MSSQL服务器

网络安全研究人员发现了一个名为Vollgar的加密挖矿僵尸网络，该僵尸网络至少自2018年以来一直在劫持MSSQL服务器，通过发起暴力攻击以接管服务器并安装Monero 和Vollar恶意挖矿软件。

01

技术分享-持久性-WMI事件订阅

Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。从红队的角度来看，WMI 可用于执行多种活动，例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。WMI 是几乎所有 Windows 操作系统（Windows 98-Windows 10）中都存在的 Windows 的一部分，这一事实使这些攻击性活动远离蓝队的雷达。

01

SELECT XMRig FROM SQLServer

2022年3月，我们观察到一个披露在互联网上的Microsoft SQL服务器遭到入侵，这次入侵的最终目标是部署一个挖矿程序，虽然在成功利用后在易受攻击的服务器上部署挖矿程序是攻击者的常见目标，但这次入侵略有不同

02

内网横向移动执行命令方法之 wmic 利用总结

内网中，由于大多数 Windows 系统自带 wmic 命令，所以 WMIC 是内网横向的常用方法之一，使用 WMI 的前置要求是，目标端口开放 135 端口，且允许随机一个高位端口进行通信。这是由于 WMI 是先通过 135 端口建立连接，而后通过随机的高位端口进行数据传输。

01

ASP脚本_笛子入门基础教程手指训练

通过前两篇的学习，相信各位已经对 ASP 的动态网站设计有了一个基本的概念和整体的印象。从本篇开始作者将从脚本语言的使用着手，由浅入深地带领大家探索 ASP 动态网站设计的真正奥秘。

03

WMI技术介绍和应用——接收事件

时隔两三年，再次更新WMI系列博文。好在功能在三年前就已经实现了，现在只要补充些实例即可。

01

伪造微软等企业签名恶性病毒偷比特币+挖矿

5月8日，火绒实验室截获新型后门病毒。该病毒破坏性极强，入侵用户电脑后会执行多种病毒模块，以窃取用户比特币、门罗币等主流虚拟货币的数据信息，同时利用用户电脑疯狂挖矿（生产“门罗币”），并且还会通过远程操控伺机对用户进行勒索。

01

WMI使用技巧集

WMI使用技巧集　很多的朋友对WMI可能见过但理解不深，我也是十分想了解关于WMI的知识，可一直找不运维

02

规避检测（共五章）：第五章

沙盒模拟通常持续很短的时间，因为沙盒加载了数千个样本。仿真时间很少超过3-5分钟。因此，恶意软件可以利用这一事实来避免检测：它可能会执行在开始任何恶意活动之前长时间延迟。

02

IE浏览器主页被劫持，如何解决主页被篡改问题？

前几天号主的电脑的指纹解锁功能突然不能用了，号主以为是驱动没更新到最新版导致的，去官网下载最新的驱动都安装上了也是不行，后面找Dell客服两个小时也没有找到最终的问题，后面个人怀疑是因为号主研究虚拟化技术导致一些冲突从而指纹识别不能用了，最后一不做二不休直接重置了系统后就恢复了【建议大家把桌面文件属性修改为存到别的盘符，这样就算你重置了系统，桌面的资料都不会丢失。

02

WMI利用(横向移动)

上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章，希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”，然后分析信息根据实际场景（工作组或者域）来进行横向移动，至于使用什么工具，为什么使用这个工具，笔者使用WMI的意见。所以本文分为三个段落，信息收集、横向移动、部分意见。信息收集。

01

WMI使用学习笔记

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

03

系统日志信息查看一览表

描述:Windows 事件命令行实用程序,用于检索有关事件日志和发布者的信息，安装和卸载事件清单，运行查询以及导出、存档和清除日志。

02

新勒索软件团伙 Dark Power 浮出水面

忽然间，Dark Power 浮出水面，并且试图快速成为业内有话语权的犯罪团伙。本文讨论了 Dark Power 勒索软件的细节，包括攻击者披露的相关被窃数据与受害者信息。根据分析人员的观察，该团伙并不针对特定部门或者地区进行攻击。样本文件【勒索软件样本文件】 Nim 是一种晦涩难懂的编程语言，攻击者越来越多地将其应用于开发恶意软件中，看中了它开发方便且原生跨平台的能力。加密密钥初始化勒索软件 Dark Power 会创建一个随机的 64 字符长的小写 ASCII 字符，主要用于初始化加密

03

10.2 调试事件获取DLL装载

理解了如何通过调试事件输出当前进程中寄存器信息，那么实现加载DLL模块也会变得很容易实现，加载DLL模块主要使用LOAD_DLL_DEBUG_EVENT这个通知事件，该事件可检测进程加载的模块信息，一旦有新模块被加载或装入那么则会触发一个通知事件，利用该方法并配合磁盘路径获取函数则可很容易的实现进程模块加载的监控。

01

10.2 调试事件获取DLL装载

理解了如何通过调试事件输出当前进程中寄存器信息，那么实现加载DLL模块也会变得很容易实现，加载DLL模块主要使用LOAD_DLL_DEBUG_EVENT这个通知事件，该事件可检测进程加载的模块信息，一旦有新模块被加载或装入那么则会触发一个通知事件，利用该方法并配合磁盘路径获取函数则可很容易的实现进程模块加载的监控。

05

file指定路径_目标实现的策略与路径

通常设置android:exported="false"，以保证权限最小化。 android:resource="@xml/filepath_data"中，filepath_data.xml文件是配置哪些路径是可以通过FileProvider访问的。 meta-data是以键值对的方式保存（key-value pairs）。android.support.FILE_PROVIDER_PATHS作为meta-data的键（key），@xml/filepath_data作为meta-data的值（value）。在FileProvider中会读取meta-data中的android.support.FILE_PROVIDER_PATHS对应的值。

02

ATT&CK视角下的红蓝对抗:二十三.横向移动之利用WMI进行横向渗透

WMI即Windows Management Instrumentation，用于管理正在运行的Windows主机。用户利用WMI可以轻松地与系统各类资源进行交互，如打开指定进程、远程启动计算机、设定指定程序在指定时间运行、查询Windows日志等。我们可以把它当作API来与Windows系统进行相互交流。在渗透测试的过程中，WMI的价值就是不需要下载和安装，因为WMI是Windows系统自带的功能，而且整个运行过程都在计算机内存中进行，操作记录不会在Winodws日志中留存。在前面的内容中对WMI有过介绍，因此不过多讲解原理。

01

Puppet资源总结

present 检查包是否存在，不存在就安装（也可写成installed）

02

C/C++ 遍历窗口标题类名

遍历每个进程，一次查找进程下的窗口，找到窗口标题为 “” ，窗口类名为 “RunDll” 的窗口。如果找到返回 true ，没找到返回 false。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭