相关内容
WMI技术介绍和应用——WMI概述
研究wmi技术的火种一直在我内心燃烧,最近正好有时间,我准备把wmi技术做一次比较系统性的梳理。 由于wmi技术涉及的方面非常的广泛,我准备主要从应用的角度去讲解一些主要的使用场景,这样才会让该技术比较生动。 同时wmi技术一个非常大的优势就是可以访问远程计算机,对于远程计算机的访问,我将安排在最末节去介绍...
WMI技术介绍和应用——VC开发WMI应用的基本步骤
第一个参数strnetworkresource是命名空间的名字,比如rootdefault或者.rootdefault。 第二三个是用户名和密码,如果是远程计算机,则这两个参数非常有用。 最后一个参数返回了iwbemservices结构的代理。 我们可以通过该代理访问wmi服务。 hresult cwmi::connect2wmi( ccomptr ploc,ccomptr& psvc ){ hresult hr = e...
dotnet 通过 WMI 获取指定进程的输入命令行
{ intentionally empty - no security access to the process. } catch(invalidoperationexception) { intentionally empty - the process exited beforegetting details. } }}如果不能访问 wmi 如使用的是 dotnet core 2.0以下版本或需要通过 dotnet core 编译为 native 就可以尝试不使用 wmi 在 dotnet获取指定进程...
使用 WMI 进行诊断WCF
您可以在应用程序的配置文件中激活内置 wmi 提供程序。 这可以通过 system.servicemodel element一节中的 element的 wmiproviderenabled属性实现,如以下配置示例所示。 ... ... 此配置项公开 wmi 接口。 现在,您可以通过此接口连接管理应用程序并访问应用程序的管理规范。 更详细的信息参看http:msdn.microsoft...
Python wmi 模块的学习
enumerate_namespaces() #usewmiinathread#在线程中使用wmi#注:wmi技术是基于com的,要想在线程中使用它,你必须初始化com的线程模式,就算你要访问一个隐式线程化的服务也是如此。 classinfo(threading.thread):def__init__(self):threading.thread.__init__(self)defrun(self): printinanotherthread...
python利用wmi统计windows
utf-8 -*- #import#####import os,sys import time import wmi######function##### defget_memory_info():tmpdict = {} c = wmi.wmi () cs = c.win32...int(pfu.allocatedbasesize - pfu.currentusage) return tmpdict if __name__ ==__main__: print get_memory_info() 其他python网站访问地址:http...
从远程计算机获取WMI数据
本文作者:贝多芬不忧伤(ms08067实验室内网小组成员)注:这篇帖子需要有一定的c++编程经验的同学来学习和测试。 ----您可以使用本主题中的过程和代码示例来创建完整的wmi客户端应用程序,该应用程序执行com初始化,连接到远程计算机上的wmi,半同步获取数据,然后清理。 ----以下过程显示了如何执行wmi应用程序...
再探勒索病毒之删除卷影副本的方法
而powershell命令则受到勒索软件的青睐,在一行简单的代码中列举并删除所有影子副本的实例。 通过wmi的win32_shadowcopy类和有用的powershellcmdlet来访问wmi对象,可以方便地实现这一点,从下面的例子中可以看出。 1. get-wmiobject win32_shadowcopy| % { $_.delete() } 2. get-wmiobject win32_shadowcopy| remove...
一种深度隐蔽的后门方式
右边一栏中有些有多个服务,例如wmi服务包括host、rpcss这2个服务,表示访问wmi服务同时需要2个tgs票据。 服务名称 同时需要的服务 wmi host、rpcss powershell remoting host、http winrmhost、http scheduled tasks host windows file share cifs ldap ldap windowsremote server rpcss、ldap、cifs 0x02 利用主机...
Powershell最佳安全实践
可直接访问win32应用程序编程接口(api); 可以轻松访问wmi接口; 强大的脚本环境; 动态、运行时方法调用; 轻松访问加密库,例如ipsec和各种哈希算法; 轻松绑定com; 上面列出的这些因素让powershell成为了一种高效的攻击向量。 powershell首次被当作一种攻击平台被提出是在2010年,当时在defcon18上有研究人员...
揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络
与现在普遍使用的powershell相比,vbs编码很难记录和访问wmi实体,且很少被要求进行安全审核。 另外,vb语言还具有向后兼容性,适用于早期的2003和2008服务器操作系统。 vbs payload在这里,vb脚本的payload首先完成系统版本、cpu内核数、使用语言以及网络连接等系统信息的收集,之后,攻击者再根据这些信息选择后续...
ManagementClass类解析和C#如何获取硬件的相关信息
管理类是 wmi 类,如win32_logicaldisk, ,该类型可表示一个磁盘驱动器,并win32_process, ,它表示的进程 notepad.exe 等。 此类的成员可以访问 wmi 数据,使用一个特定的 wmi 类路径。 一. 接下来我们来看一下managementclass类中一些较为常用的方法的源码:1.getinstances():此方法存在四个重载? 下面提供一下...
Python通过WMI读取主板BIOS信息
wmi是一项核心的windows管理技术,wmi作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的windows资源,比如用户可以在远程计算机器上启动一个进程; 设定一个在特定日期和时间运行的进程; 远程启动计算机; 获得本地或远程计算机的已安装程序列表; 查询本地或远程计算机的windows事件日志等等...
如何检测并清除WMI持久性后门
攻击者可以使用wmi的功能来订阅事件,并在事件发生时执行任意代码,从而在系统上留下持久性后门。 wmi是啥? ----“wmi是微软为基于web的企业管理(wbem)规范提供的一个实现版本,而wbem则是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。 wmi使用公共信息模型(cim)行业标准来表示系统、应用程序...
PowerShell 使用 WMI 获取信息 获取 WMI 类显示 WMI 类的信息
在系统里面包含了几百个类,一个类里面包含很多属性通过 get-wmiobject 可以找到设备里面所有可以被找到的 wmi类get-wmiobject -list在 windows 10 设备,右击开始菜单,打开 powershell 输入上面代码,就可以看到输出在 get-wmiobject 的参数可以加上计算机是哪个,支持访问局域网可以访问的计算机的信息get-wmi...
如何检测并移除WMI持久化后门?
攻击者可以使用wmi的功能订阅事件,并在事件发生时执行任意代码,从而在目标系统上建立一个持久化后门。 wmi 介绍wmi是微软基于web的企业管理(wbem)的实现版本,这是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。 wmi使用公共信息模型(cim)行业标准来表示系统,应用程序,网络,设备和其他托管...
【脚本】python中wmi介绍和使用
一:wmi基础知识=====wmi 最初于1998年作为一个附加组件与 windows nt 4.0 service pack 4 一起发行,是内置在windows 2000、 windows xp和windows server 2003系列操作系统中核心的管理支持技术。 基于由 distributed management task force (dmtf) 所监督的业界标准,wmi是一种规范和基础结构,通过它可以访问...
WMI技术介绍和应用——Event Provider
在《wmi技术介绍和应用——instancemethod provider》一文中,我们介绍了instance和method provider的编写方法。 本文我们将介绍更有意思的“事件提供者”。 在《wmi技术介绍和应用——事件通知》中,我们曾经提到事件是分为两种:intrinsic event和extrinsic event。 这两种事件提供者在编写上也非常类似,我们先以...
WMI技术介绍和应用——查询文件夹信息
如何使用wmi获取指定文件夹的创建时间? select creationdate from win32_directory where name = c:program files? 可以见得我们这个文件是2008年6月18日21时15分14秒创建的。 该串最后+480,是标志我们是东八区(60*8)。 如何使用wmi获取指定文件夹的最后访问时间? select lastaccessed from win32_directory where...
WMI技术介绍和应用——查询正在运行的线程信息
本文使用了《wmi技术介绍和应用——使用vc编写一个半同步查询wmi服务的类》中代码做为基础。 一般来说,如果试图枚举系统中的线程。 需要先枚举系统中的进程,然后再枚举每个进程中的线程。 而wmi给我们提供了一种比较简便的枚举线程信息的方法。 (转载请指明出于breaksoftware的csdn博客) 如何使用wmi枚举所有线程...
