WMI入門

WMI

Windows Management Instrumentation(WMI)

簡介

WMI是Windows 2K/XP管理系統(tǒng)的核心,對于其他的Win32操作系統(tǒng)笼平,WMI是一個有用的插件。WMI以CIMOM為基礎(chǔ),CIMOM即公共信息模型對象管理器(Common Information Model Object Manager)脖母,是一個描述操作系統(tǒng)構(gòu)成單元的對象數(shù)據(jù)庫,為MMC和腳本程序提供了一個訪問操作系統(tǒng)構(gòu)成單元的公共接口饮戳。WMI可以當(dāng)作一組API來與Windows系統(tǒng)進(jìn)行交互豪治,整個運(yùn)行過程都在內(nèi)存中進(jìn)行,不會留下任何痕跡扯罐。

使用方式

  1. cmd下直接使用wmic
  2. powershell:調(diào)用Get-WmiObject模塊
  3. WMI Query Language - WQL:
    通過powershell執(zhí)行WQL:
Get-WmiObject -Query 'Select ...'

WMIC 動作

  • List -> 列出信息
  • Get -> 取值
  • Call -> 調(diào)用方法
  • Set -> 設(shè)置某個屬性的值
  • Create -> 創(chuàng)建一個實(shí)例
  • Delete -> 刪除一個實(shí)例
  • Assoc -> 顯示關(guān)聯(lián)

常用用法:

  1. 查看別名:
wmic alias list brief
  1. 查看系統(tǒng)一些內(nèi)容:

由于list列出的內(nèi)容較多负拟,此處可使用brief輸出少部分,如果想要查看某一個值可以使用wmic some_class where 'name="xxx"' get xxx歹河,如果不知道具體名稱掩浙,可以使用like,如wmic some_class where 'like name="ls%" get xxx'

# 列出系統(tǒng)安裝的軟件
wmic product list brief
# 列出系統(tǒng)運(yùn)行的服務(wù)
wmic service list brief
# 列出系統(tǒng)運(yùn)行的程序
wmic process list brief
# 查找域控
wmic ntdomain list brief
# 查找系統(tǒng)登錄的用戶
wmic logon list brief
# 查看已安裝的補(bǔ)丁
wmic qfe list brief
# 查看進(jìn)程啟動時執(zhí)行的命令
wmic process where 'name="xx.exe"' get commandline
wmic process where ProcessId=144 get commandline
  1. 查看某個類所有可調(diào)用的函數(shù):

以下以win32_process舉例:
powershell2.0 以上:

 Get-WmiObject -Query 'Select * From Meta_Class WHERE __Class = "win32_process"' | Where-Object { $_.PSBase.Methods } | Select-Object Name, Methods

powershell3.0 以上:

 Get-CimClass -ClassName win32_product | where CimClassMethods -ne $null  | select CimClassName,CimClassMethods
  1. 調(diào)用類的函數(shù)
    舉例:
# 查看porcess可調(diào)用的函數(shù):
Get-WmiObject -Query 'Select * From Meta_Class WHERE __Class = "win32_process"' | Where-Object { $_.PSBase.Methods } | Select-Object Name, Methods

Name          Methods
----          -------
Win32_Process {Create, Terminate, GetOwner, GetOwnerSid...}

通過查看可調(diào)用的方法可以知道我們可以使用call來調(diào)用方法:

# 創(chuàng)建一個計(jì)算器進(jìn)程
wmic process call create calc
# 關(guān)閉計(jì)算器進(jìn)程(實(shí)際是掛起)
# 此處使用name關(guān)閉有時不太好用秸歧,可以使用like或者是processid來關(guān)閉
wmic process where processid=18084 call terminate 
  1. powershell 使用wmi
    Get-WmiObject在powershell3.0之后已經(jīng)過時厨姚,使用Get-CIMInstance代替,但是仍然可以使用键菱。
# 查詢進(jìn)程:
# 相對使用wmi命令輸出的結(jié)果能更直觀地查看(2列橫向表格輸出)
Get-WmiObject -class win32_process -filter "name='lsass.exe'"
  1. wmi連接遠(yuǎn)程主機(jī)
    前提是遠(yuǎn)程主機(jī)開放了135端口且WMI服務(wù)開啟
# 在遠(yuǎn)程主機(jī)上創(chuàng)建進(jìn)程執(zhí)行命令
wmic /node:1.1.1.1/user:administrator /password:123456 process call create "cmd.exe /c xxx"
  1. 列舉本地主機(jī)中已安裝的殺軟:
wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

目前wmi了解較淺谬墙,還需要后續(xù)深入了解

附:

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市经备,隨后出現(xiàn)的幾起案子拭抬,更是在濱河造成了極大的恐慌,老刑警劉巖侵蒙,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件造虎,死亡現(xiàn)場離奇詭異,居然都是意外死亡纷闺,警方通過查閱死者的電腦和手機(jī)算凿,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來急但,“玉大人澎媒,你說我怎么就攤上這事〔ㄗ” “怎么了戒努?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我储玫,道長侍筛,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任撒穷,我火速辦了婚禮匣椰,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘端礼。我一直安慰自己禽笑,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布蛤奥。 她就那樣靜靜地躺著佳镜,像睡著了一般。 火紅的嫁衣襯著肌膚如雪凡桥。 梳的紋絲不亂的頭發(fā)上蟀伸,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機(jī)與錄音缅刽,去河邊找鬼啊掏。 笑死,一個胖子當(dāng)著我的面吹牛衰猛,可吹牛的內(nèi)容都是我干的迟蜜。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼啡省,長吁一口氣:“原來是場噩夢啊……” “哼小泉!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起冕杠,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤微姊,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后分预,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體兢交,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年笼痹,在試婚紗的時候發(fā)現(xiàn)自己被綠了配喳。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡凳干,死狀恐怖晴裹,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情救赐,我是刑警寧澤涧团,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響泌绣,放射性物質(zhì)發(fā)生泄漏钮追。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一阿迈、第九天 我趴在偏房一處隱蔽的房頂上張望元媚。 院中可真熱鬧,春花似錦苗沧、人聲如沸刊棕。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽鞠绰。三九已至,卻和暖如春飒焦,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背屿笼。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工牺荠, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人驴一。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓休雌,卻偏偏與公主長得像,于是被迫代替她去往敵國和親肝断。 傳聞我的和親對象是個殘疾皇子杈曲,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容