开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在Windows10中，使用WQL查询的WMI“事件订阅”有变化吗？

在Windows10中，使用WQL查询的WMI“事件订阅”相较于之前的版本有一些变化。

WMI（Windows Management Instrumentation）是一种用于管理和监控Windows操作系统的技术。WMI事件订阅是一种机制，允许开发人员通过查询WMI来订阅和接收特定事件的通知。

在Windows10中，WMI事件订阅的变化主要体现在以下几个方面：

改进的性能：Windows10中的WMI事件订阅引入了一些性能改进，包括更高效的事件过滤和更快的事件传递速度。这使得开发人员能够更快地接收到事件通知，并更有效地处理这些事件。
新的事件类型：Windows10引入了一些新的事件类型，使开发人员能够更全面地监控系统状态和行为。例如，可以订阅与网络连接、电源管理、设备插拔等相关的事件，以便及时做出响应。
更灵活的事件过滤：Windows10中的WMI事件订阅提供了更灵活的事件过滤选项。开发人员可以使用WQL查询语言定义更精确的事件过滤器，以便只接收到感兴趣的事件通知。这有助于减少不必要的通知和提高系统性能。
新的管理工具：Windows10中提供了一些新的管理工具，用于配置和监控WMI事件订阅。这些工具提供了更直观和易用的界面，使开发人员能够更方便地管理事件订阅。

总之，Windows10中的WMI事件订阅在性能、功能和管理方面都有所改进，使开发人员能够更好地利用WMI技术来监控和管理Windows系统。对于开发人员来说，熟悉并合理利用WMI事件订阅可以帮助他们更好地了解和控制系统的状态和行为。

腾讯云相关产品和产品介绍链接地址：

腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云云数据库MySQL版：https://cloud.tencent.com/product/cdb_mysql
腾讯云云原生容器服务TKE：https://cloud.tencent.com/product/tke
腾讯云云存储COS：https://cloud.tencent.com/product/cos
腾讯云区块链服务：https://cloud.tencent.com/product/baas
腾讯云人工智能平台：https://cloud.tencent.com/product/ai
腾讯云物联网平台：https://cloud.tencent.com/product/iot
腾讯云移动开发平台：https://cloud.tencent.com/product/mwp

相关搜索:Video-JS中的TextTrack对象在v5.x和v6.x之间有变化吗？winforms事件行为在Windows10中有变化吗？两个MySQLi查询在PHP中是连续的吗(即使有多个主机)？为什么在`withLatestFrom`中对可观察对象使用`share`运算符会导致某个订阅中的事件被跳过？使用C#在Selenium中截取屏幕截图的方法有问题吗？在Google Colab中阅读Google Sheets中发布的CSV有什么变化吗？在grails 2.0中，如何使用shiro实现BasicHttpAuthentication？有什么很棒的例子吗？在junit5中使用SpringRunner有什么特殊的配置吗？在PostSharp 5.x中，ExceptionHandling的方法有变化吗？在powershell中使用SCCM中的WQL查询

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

WMI ——重写版

，这里不做过多介绍，用的最多的是 data queries ，请在实际查询中使用，需要明确的是WQL仅能查询，无法使用 Methods 进行增删改等操作。...WMI Eventing ---- WMI 事件订阅是订阅某些系统事件的方法。...重点放在Permanent WMI Event Subscriptions上，永久的WMI 事件订阅存储在WMI repository，系统关键/重启之后任然存储着，并且，永久的WMI事件订阅是以System...，当前机器大概率是Vmware 的 VM/Sandbox 在Powershell 中是这样的：后面不在啰嗦，只要理解这个类的查询逻辑，就很容易理解命令， Get-WmiObject 本质上也是使用了...WQL查询，并且也支持 -query 参数直接使用WQL查询。

2K1 0

Windows WMI 详解之WMI事件

1.WMI永久事件订阅组成（1）EventFilter（事件过滤器）EventFilter（事件过滤器）存储在一个ROOT\subscription:__EventFilter对象的实例里，其主要作用是使用...，一般情况下，WMI为存储在WMI存储库中的对象创建内部事件，提供程序为动态类生成内部事件，如果没有可用的提供程序，WMI将会为动态类创建一个实例，以下为WMI用于报告内部事件的系统类。...在Event Consumers中，系统提供了如下WMI预安装的永久使用者的类，它们都属于Root\CTMV2以及ROOT\DEFAULT这两个命名空间中，我们可以创建这些类的实例以提供永久消费者类，以提供在过滤器中指定的事件触发时响应的逻辑消费者...CIM存储库中的一组静态WMI类，我们可以通过MOF的方式分四个步骤来创建永久事件订阅，如下是具体的步骤，以及创建永久事件订阅模版的MOF示例。...\\root\\subscription")2.创建_EventFilter类的实例并使用其查询属性来存储您的WQL事件查询。

4091 0

WMI持久性后门(powershell）(水文)

WMI使用公共信息模型（CIM）行业标准来表示系统、应用程序、网络、设备和其他托管组件。” 实际上，所谓事件过滤器只不过就是一个WMI类，用于描述WMI向事件使用者传递的事件。...3.0.使用wmiclass创建 WMI 事件订阅创建 WMI 事件订阅的第一种方法是利用 wmiclass 类型加速器并使用 CreateInstance() 方法。...Stop-Service wuauserv -Verbose 4.0.使用 Set-WMIInstance创建 WMI 事件订阅此方法使用 –Arguments 参数，该参数接受将用于定义每个实例及其属性的哈希表...事件过滤器和两个 WMI事件Consumer，Consumer启动 base64 编码的 PowerShell 命令的命令行，然后加载存储在 Windows 注册表中的大型 PowerShell 脚本。...$WY79ad')) | iex 最后，脚本将加密的有效负载存储在 Windows 注册表中，在样本中，攻击者似乎对每个目标使用不同的注册表位置。

1.3K1 0

技术分享-持久性-WMI事件订阅

通过 WMI 事件订阅的持久性可以通过使用常见的 Microsoft 实用程序来实现，因此无需将文件放入磁盘。...PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...选项）将创建事件过滤器、事件使用者和订阅。...有一个 PowerShell 模块可以通过在特定时间执行基于 64 编码的有效负载，在目标主机上部署 WMI 事件订阅的持久性技术。...usemodule persistence/elevated/wmi_updater* 工具包下表显示了红队可以使用的工具，以实现 WMI 事件订阅的持久性技术以及每个工具的可用触发器选项。

2.6K1 0

WMI 攻击手法研究 – 基础篇 (第一部分)

文章目录[隐藏] 介绍用 PowerShell 操作 WMI 使用 PowerShell 里的 WMI 查询结论这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell...Query Languages：就像 SQL 提供查询数据库的方法一样，WMI 也有用于查询 WMI 服务的 WQL (WMI 查询语言) / CQL。...在本系列的后续部分中，我们将了解如何编写自己的 MOF 文件来扩展 WMI 功能集。...不过，它们也可以采用其它类型 (类、事件、事件使用者、方法等) 的形式。...里的 WMI 查询现在我们已经知道了可供我们使用的不同 cmdlet，我们可以尝试运行上面的示例 WQL 查询。

1.3K2 1

WMI利用（权限维持）

可以使用wmic来进行操作。通俗的可以说：WMI内部出现什么变化就由WMI事件来进行通知。...WMI事件中的事件消费者可以分为临时和永久两类，临时的事件消费者只在其运行期间关心特定事件并进行处理，永久消费者作为类的实例注册在WMI命名空间中，一直有效到它被注销。...所以在权限维持中一般我们使用WMI永久事件来进行。...对于WMI事件的官方解释以及部分博客解释： · WMI事件通知 · 接收WMI事件查询事件列出事件过滤器 Get-WMIObject -Namespace root\Subscription -Class...$EventFilterArgs 中的 Name ###修改筛选器名称。 Query ###修改其中WQL语句，以下脚本中可不用修改，但TimerID需和$TimerArgs中的参数匹配。

1.8K2 1

Windows WMI 详解（一）

2.WQL语言 WQL也就是WMI的SQL，WQL的全称是WMI Query Language（Windows管理规范查询语言），主要用于查询WMI任何托管资源，其查询语言与SQL语法相似，但只能执行数据的查询...5）where clause可选项，代表要过滤的信息，用来定义搜索范围。2.查询用例1）在CDM命令行中执行wbemtest命令进入WMI测试器中，如图1-1所示。...4）通过点击“查询”模块，可执行WQL语句对所需要的内容进行查询，如图1-4所示。5）在此输入我们要执行的WQL语句。...WMI Client 在WMI交互时有很多客户端，我们在实战中可以根据不同的场景适当的去选择已有的客户端进行操作，接下来详细介绍可以用于实战中的WMI Client。...交互的命令行管理工具，他不但可以管理本地计算机，还能够在足够的权限下管理域控中的其他计算机，WMIC是windows自带的一个功能，计算机只要支持WMI即可使用WMIC，WMIC因其强大的功能以及Windows

8591 0

WMI技术介绍和应用——InstanceMethod Provider

在《WMI技术介绍和应用——事件通知》一文中，我们提到了提供者（Provider）这个概念。...我们在1这层的Native C/C++里可以看到若干Provider，这些Provider将各个实例或者事件信息通过WMI core传递到上层。...instance provider MSDN上说Virtual Studio的ATL模板里有WMI向导，并且推荐大家使用向导去生成WMI工程。...在WMI Class项中，我们不做任何修改，使用默认的root空间，其实最终我们真实使用的是root\default。 ? ...一个类的方法有静态和非静态之分，我们在mof里定义的类也是如此。

7953 0

WMI攻击与安全防御

每个WMI 对象都是代表着获取各种操作系统信息与进行相关操作的类实例，以ROOT\CIMV2 作为默认的命名空间，CIM为数据库，并以WQL 查询语句用于查询 WMI 对象实例、类和命名空间。...事件会创建一个查询请求，请求中定义了我们需要执行的操作，一旦事件发生就会执行我们定义的操作，支持两种事件。...1、临时事件：要创建事件的进程处于活动状态，临时事件就会被激活（以当前权限运行）例如：每打开一个新进程就会输出进程名称： 2、持久事件：事件存储在CIM数据库中，并且会一直处于活动状态，直到从数据库中删除...1、事件过滤器(Filter)：用来定义触发的条件，包括系统启动、特定程序执行、特定时间间隔等，存储在ROOT\subscription的实例__ EventFilter对象中，多数事件使用WQL WITHIN...Wmic实现效果：定时触发反弹现如今，WMI攻击在很多APT行为中也经常被利用： Mof实现执行命令： Mofcomp xx.mof 效果：每30分钟触发反弹。

9923 0

CC++ 运用WMI接口查询系统信息

通过WMI，可以使用各种编程语言（如C#、VBScript、PowerShell等）来执行诸如查询系统信息、监控性能、配置系统设置等任务。...当需要通过WMI编程提取参数时，我们就需要使用WQL（Windows Management Instrumentation Query Language）它是一种查询语言，专门用于查询Windows Management...WMI 是Windows操作系统中用于管理和监视的框架，而WQL则是用于与WMI进行交互的查询语言。...），使用WQL可以执行各种查询来检索关于计算机系统、硬件、软件和其他管理信息的数据。...，我们以Win32_LogicalDisk为例，代码需要进行一定的改进，在循环时分别取出不同的字段，此时的查询函数需要相应的做一些改进，如下是查询函数需要变化的位置。

2215 0

WMI技术介绍和应用——事件通知

在《WMI技术介绍和应用——WMI概述》中，我们使用了下图介绍WMI构架（转载请指明出于breaksoftware的csdn博客） ? ...再具体一点就是，我们可以使用WMI检测进程创建、服务状态变化、电脑状态变化，磁盘可用空间变化等信息。...上图的WMI Providers and Managed Objects(托管对象和WMI提供者)层中，我们将使用Provider帮我们检测WMI变化。...介绍了这么多基础知识了，那如何查询事件通知呢？在《WMI技术介绍和应用——使用VC编写一个半同步查询WMI服务的类》中，我们讲解WMI查询静态数据时，我们可以使用同步查询和半同步查询两种查询方式。...永久事件使用者是保存在WMI仓库中（上图2层中WMI repository），并且是一个在WMI中注册的可执行文件，这样WMI便可以方便的寻找和加载它了。

1.1K2 0

C#通过获取快捷方式指向目标的小示例触碰WMI

这种方法的缺憾是你的程序必须带上Interop.IWshRuntimeLibrary.dll这个文件（不过也许可以把这个dll并入exe中再动态加载什么的）。...Anyway~今天说的是另一个途径——WMI（Windows Management Instrumentation），这个东东我了解不深，只知道很强大，几乎涉及win系统软硬件资源的方方面面，使用一种叫...WQL的查询语言（SQL它妹）获取资源信息，我也是现学现用，抛砖引玉，告知还不知道的童鞋们除了Win32 API，还有WMI这货可以解决某些.Net解决不了的问题，所以~WMI大牛撸过即可。...();//调用查询器的Get方法以执行查询，并将查询结果装入一个对象集合 //遗憾的是该集合不支持[]下标索引，要获取里面的对象必须foreach，即使你明确知道里面只有1个对象，操蛋...http://www.ks-soft.net/hostmon.eng/wmi/index.htm 3、还是WMI Explorer，只是主人不同，来自脚本工具大家人户SAPIEN，但目前在它官网找不到该工具的下载入口

6162 0

cs上线-自定义powershell参数污染-bypass杀软

是命令行参数，通过在内存中获取到ProcessParameters的地址，进行覆盖，替换参数。...3、获取到peb结构中ProcessParameters地址，使用wpm函数进行替换。 3：免杀效果查看进程参数发现显示的还是powershell.exe 没有参数。...4：持久化可以配合wmi订阅事件后门做持久化。...Windows update trigger" Query = "SELECT * FROM __TimerEvent WHERE TimerID = 'Trigger'" QueryLanguage = 'WQL...订阅事件后门做持久化。

1.2K1 0

WMI技术介绍和应用——Event Provider

在《WMI技术介绍和应用——Instance/Method Provider》一文中，我们介绍了Instance和Method Provider的编写方法。...本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中，我们曾经提到事件是分为两种：intrinsic event和extrinsic event。...在”名称“页，我们在short name中填上我们事件提供者的名称”TestEvent"，其他输入框内容将自动生成。 ...我们使用之前实现的查询类查询该事件 HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL); CAsynNotifyQuery<CInstanceEvent...pEventInstance实例的"TargetInstance"中，这也和上面的WQL的“TargetInstance isa \"IntrinsicClassInstance\"”相对应。

5903 0

WMI技术介绍和应用——接收事件

之前介绍的基本都是查询静态数据，而本文将要介绍非常有意思的事件接收功能。...有一种做法就是使用Windows API遍历系统的进程，而实际上我们可以通过WMI获取这样的信息。...其中有意义的信息是字段中包含的设备路径。可以使用如下指令监控设备移除，返回字段和上图一样，我就不贴了。...的确是个强大的功能，如果一个进程内部集成一个WMI查询器，那么很多复杂的功能就会变成简单的WQL语句。...当然它被使用最广的还是远程查询，我们可能在之后的章节中介绍这块的使用。

1K1 0

从远程计算机获取WMI数据

---- 您可以使用本主题中的过程和代码示例来创建完整的WMI客户端应用程序，该应用程序执行COM初始化，连接到远程计算机上的WMI，半同步获取数据，然后清理。...通过调用IWbemServices :: ExecQuery执行查询以获取操作系统的名称和可用物理内存量。以下WQL查询是方法参数之一。...SELECT * FROM Win32_OperatingSystem 该查询的结果存储在IEnumWbemClassObject指针中。...这允许使用IEnumWbemClassObject接口半同步地检索来自查询的数据对象。设置IEnumWbemClassObject枚举器代理安全性。使用完凭据后，请确保从内存中删除它们。...从WQL查询获取并显示数据。所述IEnumWbemClassObject指针被链接到的数据对象，该查询返回，并且数据对象可以与该被检索 IEnumWbemClassObject::Next 方法。

2.1K1 0

WMI技术介绍和应用——Event Consumer Provider

在《WMI技术介绍和应用——Event Provider》和《WMI技术介绍和应用——接收事件》中，我们展现了如何处理和事件相关的WMI知识。...而《WMI技术介绍和应用——接收事件》一文则主要讲解了如何查询事件，这种查询是在我们进程存在时发生的，一旦我们进程不存在了，这种查询也无法执行。...我们将这种行为称为消费事件，我们执行查询的进程叫做“事件临时消费者”。相对应的，WMI还存在“事件永久消费者”，它并不寄生我们的编写的进程中。本文主要讲解“事件永久消费者”的编写方法。...\\root\\CIMV2"; }; 其中定义了筛选器的名字、查询的语言、查询的命令和需要查询的命名空间。如果没有指定EventNamespace，则使用该mof中默认的命名空间。...在本例中，我们要监控USB设备的创建，故要监控CIMV2空间。这儿需要注意的是，我们可以Query内部事件或者外部事件。最后我们将筛选器绑定到消费者上。

6934 0

WMI技术介绍和应用——查询系统服务

——使用VC编写一个半同步查询WMI服务的类》中代码做为基础。...本节只是列出了WQL语句，具体使用参看前面的例子。（转载请指明出于breaksoftware的csdn博客）本文主要介绍Win32_Service类。...如何使用WMI枚举系统中的服务？ SELECT * FROM Win32_Service 我们以Application Experience服务为例，介绍各对应关系。 ?...如何使用WMI查询指定服务是否已经开启？ SELECT State FROM Win32_Service WHERE Name = 'AeLookupSvc' ?...如何使用WMI查询指定服务对应的进程ID？ SELECT ProcessID FROM Win32_Service WHERE Name = 'AeLookupSvc' ?

5543 0

在.NET中轻松获取系统信息(1) －WMI篇

在.NET中轻松获取系统信息(1) －WMI篇 Montaque 申明： 1、个人的一点心得，仅供参考 2、转载时候，请保留原本。...到了.NET，微软提供了更为丰富的类，有很多以前要调用API的方法可以在.NET中轻而易举的调用实现。...今天简单介绍一个在.NET中如何通过与WMI（Windows 管理规范）的通讯，从而得到获取信息的目的。...在.NET中，有一个System.Management名空间（系统默认没有引用，我们可以手动添加引用），通过下面的Class的操作，可以查询系统软硬件的信息，先看一个简单的例子： Imports System.Management...其实就是SQL操作，这种语句被成WQL(WMI Query Language)，实际上是标准SQL的一个子集加上了WMI的扩展. 2、WQL是个只读的查询语言，我们只能查询响应的数据，不能用UPDATE

1.1K7 0

WMI技术介绍和应用——查询本地用户和组

本文使用了《WMI技术介绍和应用——使用VC编写一个半同步查询WMI服务的类》中代码做为基础。...本节只是列出了WQL语句，具体使用参看前面的例子。...查询到指定名字的组账号的SID。如何使用WMI枚举本地用户信息？ SELECT * FROM Win32_UserAccount ? 如何使用WMI查询指定账号是否启用？...这个标识我的系统中Guest账户没有被启用。如何使用WMI查询指定账号是否需要密码？...这标识我系统中Admin账号不需要密码。如何使用WMI查询指定账号密码是否过期？

1.2K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭