WMI(Windows ManageMent Instrumentation)——Windows管理规范

本文参考了安全脉搏文章https://www.secpulse.com/archives/72493.html，写得特别好，本文完全是作为入门学习的总结

一、什么是WMI ？

WMI是一项核心的Windows管理技术，用户可以使用WMI管理本地、远程计算机，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源。

小结：
WMI：可以理解为一组管理Windows系统的方法和功能。可以把它当作API来与Windows系统进行相互交流。

比如：
用户可以在远程计算机上启动一个进程；
设定一个在特定时间运行的进程；
远程启动计算机；
获得本地或者远程计算机的已安装程序列表；
查询本地或者远程计算机的Windows事件日志；
·

二、本质善良的WMI：

WMI本是为了让计算机的管理更容易，但与此同时也为黑客提供了方便，因为WMI是Windows系统自带功能，而且整个运行过程都在计算机内存中发生，因此不会留下任何痕迹。

为什么这样说呢？一般情况下，本地计算机上执行的WMI操作也可以在远程计算机上执行，只要用户拥有该计算机的管理员权限。如果用户对远程计算机拥有权限并且远程计算机支持远程访问，那么用户就可以连接到远程计算机，并且执行相应权限的操作。
·

三、WMI能干嘛——？

【检索系统信息】

1、检索系统已安装的软件

2、搜索系统运行服务

3、搜索运行中的程序

4、搜索启动程序

5、搜索共享驱动盘

6、搜索时区

7、搜索计算机域控制器

8、搜索登录用户

9、搜索已安装的安全更新

10、搜索计算机账户

【执行任务】

1、卸载和重装程序：在渗透测试中，经常遇到反病毒程序，阻止payload运行。 这时候我们可以通过WMIC命令来卸载反病毒程序。

2、运行程序管理：可能在上一步找到了反病毒程序，但是没有足够的权限去删除，但是可以尝试停止运行反病毒服务。
·

四、WMI的功能已被纳入PowerShell

自从PowerShell的出现，WMI功能已经被完全整合到了PowerShell里面。在PowerShell中， WMI拥有多个类型的种类，每个种类都代表一个内部组件：Win32_proces代表当前系统所运行程序。 Win32_Service代表当前系统所运行服务等等。每个种类都有它自己的属性，我们可以使用WQL语言来进行查询。它的语法与SQL语言非常接近。那么要在Windows环境中列出所有种类， 我们可以使用PowerShell Get-WmiObject cmdlet来实现。

·

五、总结

现在越来越多的病毒通过WMI干坏事，等同于用微软的刀伤害用户，本文也是作为一个笔记来学习WMI的基本作用，后面会继续补充相关方面的经验。
推荐阅读：https://www.secpulse.com/archives/72493.html