來(lái)至微軟官方的WMI tools工具,(可用于瀏覽器被高級(jí)惡意篡改劫持時(shí)刪除惡意WMI腳本)
WMI工具包括:WMI CIM Studio:查看和編輯類(lèi),屬性,限定詞和在CIM儲(chǔ)存庫(kù)的實(shí)例;選定的運(yùn)行方式;生成并編譯MOF文件。 WMI對(duì)象瀏覽器:視圖對(duì)象,編輯屬性值和限定詞和運(yùn)行方法。
WMI Tools工具安裝方法:
1. 環(huán)境設(shè)置
windowsXp以上系統(tǒng)自帶wmi,對(duì)于一些比較老的系統(tǒng)需要安裝wmi的程序包,可以在微軟網(wǎng)站上下載相關(guān)程序包和WmiTools這個(gè)工具。
2. WMI Tools工具介紹
安裝完成后,執(zhí)行WMI CIM Studio后,會(huì)出現(xiàn)讓你選擇wmi命名空間的提示,默認(rèn)為root/cimv,一路按Enter鍵就ok了。如圖所示:
可以看到wmi的結(jié)構(gòu)組織圖就像注冊(cè)表一樣,是個(gè)樹(shù)型結(jié)構(gòu),各個(gè)節(jié)點(diǎn)下面都有相應(yīng)的屬性節(jié)點(diǎn)和方法。點(diǎn)擊上圖的搜索按鍵,輸入win32_Service后,就可以查詢(xún)到wmi中關(guān)于服務(wù)的相關(guān)屬性和方法了
Wmi Tools不僅是一個(gè)查詢(xún)軟件,還可以創(chuàng)建wmi實(shí)例,執(zhí)行wql(類(lèi)似于sql一樣的wmi查詢(xún)語(yǔ)句)。不過(guò)我們用的最多的還是它的查詢(xún)功能,查詢(xún)一些我們需要的屬性和方法名。
WMI 是什么?
Windows 管理規(guī)范(Windows Management Instrumentation)是一項(xiàng)核心的 Windows 管理技術(shù);用戶(hù)可以使用 WMI 管理本地和遠(yuǎn)程計(jì)算機(jī)。WMI 通過(guò)編程和腳本語(yǔ)言為日常管理提供了一條連續(xù)一致的途徑。例如,用戶(hù)可以:
在遠(yuǎn)程計(jì)算機(jī)器上啟動(dòng)一個(gè)進(jìn)程。
設(shè)定一個(gè)在特定日期和時(shí)間運(yùn)行的進(jìn)程。
遠(yuǎn)程啟動(dòng)計(jì)算機(jī)。
獲得本地或遠(yuǎn)程計(jì)算機(jī)的已安裝程序列表。
查詢(xún)本地或遠(yuǎn)程計(jì)算機(jī)的 Windows 事件日志。
WMI 中的“Instrumentation”特指 WMI 可以獲得關(guān)于計(jì)算機(jī)內(nèi)部狀態(tài)的信息,這與汽車(chē)儀表盤(pán)獲得并顯示引擎的狀態(tài)信息非常類(lèi)似。WMI 對(duì)磁盤(pán)、進(jìn)程、和其他 Windows 系統(tǒng)對(duì)象進(jìn)行建模,從而實(shí)現(xiàn)“指示”功能。這些計(jì)算機(jī)系統(tǒng)對(duì)象采用類(lèi)來(lái)建立模型,例如 Win32_LogicalDisk 或 Win32_Process; 如您所料,Win32_LogicalDisk 類(lèi)用于建立在計(jì)算機(jī)上安裝的邏輯磁盤(pán)的模型,Win32_Process 類(lèi)用于建立正在計(jì)算機(jī)上運(yùn)行的任何進(jìn)程的模型。這些類(lèi)基于一個(gè)名為通用信息模型(Common Information Model,CIM)的可擴(kuò)展架構(gòu)。CIM 架構(gòu)是分布式管理任務(wù)組(Distributed Management Task Force)的一個(gè)公開(kāi)標(biāo)準(zhǔn)( http://www.dmtf.org).
WMI 的功能還包括事件觸發(fā)、遠(yuǎn)程調(diào)用、查詢(xún)、查看、架構(gòu)的用戶(hù)擴(kuò)展、指示等等。