WMI技术介绍和应用——接收事件

最新推荐文章于 2024-08-04 16:34:52 发布
最新推荐文章于 2024-08-04 16:34:52 发布
阅读量9.2k 收藏 7
点赞数 4
分类专栏: WMI技术介绍和应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breaksoftware/article/details/50543906
版权

        时隔两三年,再次更新WMI系列博文。好在功能在三年前就已经实现了,现在只要补充些实例即可。

        之前介绍的基本都是查询静态数据,而本文将要介绍非常有意思的事件接收功能。(转载请指明出于breaksoftware的csdn博客)

    监控进程创建和死亡

        首先提一个问题,如何监控系统创建进程?比如有些软件会监控竞品是否创建,如果创建了就通知用户“不安全”。有一种做法就是使用Windows API遍历系统的进程,而实际上我们可以通过WMI获取这样的信息。

SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'

        我打开一个记事本,来看看程序的输出

        这组信息,我们可能觉得有用的是进程名(Name)、进程启动命令(CommandLine)、创建时间(CreationDate)、进程所在路径(ExecutablePath),进程ID(ProcessId )、线程数(ThreadCount)等。

        我们可以使用如下指令监控进程的死亡,其返回字段和上图中一致

SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'

 

    监控USB设备插拔

        之前做PC版的手机助手,其中有一个功能就是监控USB设备插拔功能。如果有设备插入,则用ADB检测下是否有安卓设备插入。

SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_USBCOntrollerDevice

        该指令可以监控设备的创建(插入)


        其中有意义的信息是字段中包含的设备路径。

        可以使用如下指令监控设备移除,返回字段和上图一样,我就不贴了。

SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_USBCOntrollerDevice'

 

    监控某个进程   

        我们可以通过指定进程名或者进程ID的形式,监控进程的改变

SELECT * FROM __InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' And TargetInstance.Name = 'Notepad.exe'
SELECT * FROM __InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' And TargetInstance.ProcessId  = 13792

        WMI的确是个强大的功能,如果一个进程内部集成一个WMI查询器,那么很多复杂的功能就会变成简单的WQL语句。当然它被使用最广的还是远程查询,我们可能在之后的章节中介绍这块的使用。

    监控电量

        随着平板和移动设备的兴起,电量将变量设备的一个重要性能,所以监控电量变化,可以衍生出很多产品。

SELECT * FROM __InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Battery'

        
        其中比较有用的字段是Availability和BatteryStatus

AvailabilityMeaning
1 (0x1)Other
2 (0x2)Unknown
3 (0x3)Running or Full Power
4 (0x4)Warning
5 (0x5)In Test
6 (0x6)Not Applicable
7 (0x7)Power Off
8 (0x8)Off Line
9 (0x9)Off Duty
10 (0xA)Degraded
11 (0xB)Not Installed
12 (0xC)Install Error
13 (0xD)Power Save - Unknown
The device is known to be in a power save mode, but its exact status is unknown.
14 (0xE)Power Save - Low Power Mode
The device is in a power save state but still functioning, and may exhibit degraded performance.
15 (0xF)Power Save - Standby
The device is not functioning, but could be brought to full power quickly.
16 (0x10)Power Cycle
17 (0x11)Power Save - Warning
The device is in a warning state, though also in a power save mode.

 

BatteryStatusMeaning
1The battery is discharging.
2The system has access to AC so no battery is being discharged. However, the battery is not necessarily charging.
3Fully Charged
4Low
5Critical
6Charging
7Charging and High
8Charging and Low
9Charging and Critical
10Undefined
11Partially Charged

         工程源码见《WMI技术介绍和应用——WMI概述》结尾。

breaksoftware
关注
专栏目录
windows开启 wmi监控文档
12-19
windows开启wmi配置开启监控文档,亲测好用请大家给好评,谢谢拉啊windows开启 wmi监控文档
MSSQL/WMI/PowerShell结合篇(二)创建WMI监控
weixin_58088629的博客
08-03 181
文中所介绍的监控类型的WMI消费者主要为CommandLineEventConsumer、 LogFileEventConsumer 详细介绍参阅以下链接: CommandLineEventConsumer LogFileEventConsumer 下面以PowerShell脚本为例,介绍如何创建WMI事件监控 一、LogFileEventConsumer示例 1、创建EventFilter,对需要监控的事件进行过滤 ${EventNamespace} = "th...
内网权限维持——利用WMI进行权限维持
最新发布
qq_55202378的博客
08-04 522
WMI(Windows Management Instrumentation,Windows管理规范)是windows提供的一种能够直接与系统进行交互的机制,旨在为系统中运行的各程序界定一套独立于环境的标准,允许系统中允许的程序相互交流系统的程序管理信息。WMI事件是Windows管理架构中的一部分,它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件应用程序可以接收系统各类通知,并且在特定事件发生时采取相应的措施。例如,磁盘空间不足时可以通过WMI事件来发出警报等。
WMI监视进程启动
baggiowangyu的专栏
12-08 5155
// WMIProcessCreateMonitor.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include using namespace std; #pragma comment(lib, "wbemuuid.lib") #pragma comment(li
使用 WMI 监视性能
风行的专栏
04-24 2492
   WMI 提供了一整套易于使用的性能计数器类。可以利用这些类来监视处理器使用情况、内存使用情况、网络连接、磁盘使用情况、Web 服务性能、服务器连接、打印机使用情况以及其他各种性能参数。  WMI提供了多种编程接口,有供C++使用的COM API,供ASP和VB使用的SCRIPT API,供.NET使用的在System.Management 中的类。它们的用法大同小异。在.NET中,也可以
系统wmi服务器,wmi的服务器实时监控系统
weixin_31319027的博客
08-10 408
wmi的服务器实时监控系统 内容精选换一换监控是保持云耀云服务器可靠性、可用性和性能的重要部分,通过监控,用户可以观察云耀云服务器资源。为使用户更好地掌握自己的云耀云服务器运行状态,公有云平台提供了云监控。您可以使用该服务监控您的云耀云服务器,执行自动实时监控、告警和通知操作,帮助您更好地了解云耀云服务器的各项性能指标。主机监控分为基础监控和操作系统监控。基础监控为云服务器自动上监控是保持弹性云服...
运维采集技术分享: 通过WMI监控NAT后的Windows系统
weixin_34026484的博客
11-28 213
1、Windows OS和WMI简介随着互联网技术的飞速发展,我们对于IT业务系统的服务能力要求越来越高。根据Gartner统计2017年1季度全球服务器出货量超过125亿美金,正在运行支撑各种业务的服务器数量更是庞大。这些服务器中有超过50%的服务器正在使用Windows OS。这些Windows OS支撑了各种大中小型的业务应用,支撑着人们工作、生活等各项活动的开展。...
易语言应用WMI监控进程源码-易语言
06-13
在本压缩包中,"易语言应用WMI监控进程源码"是针对Windows Management Instrumentation(WMI技术应用实例,用于监控系统中的进程。WMI是Windows操作系统提供的一种管理系统资源的方式,通过WMI,开发者可以获取...
C#版USB通信编程(接收和发送数据)
04-11
在C#编程环境中,USB通信是一个重要的领域,特别是在嵌入式系统、自动化设备以及数据采集系统等应用中。本文将详细讲解如何使用C#进行USB通信编程,包括如何捕捉USB设备的插入和拔出事件,以及如何列出系统中的USB...
WMI(扫盲)
Jerry要好好学习
08-15 1274
以下内容,你几乎都可以通过google 百度很容易搜到,在此稍微做流水账整理了下。    读者在项目(多半是监控)中若需用到WMI,还需要深入survey 的~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
windows终端事件日志监控指南
热门推荐
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
C#文件操作从入门到精通(1)——INI文件操作
qq_34059233的博客
07-30 2458
本文详细介绍ini文件在winform中的应用,纯属项目实战经验!
ring3下利用WMI监视进程创建(vc版)
zwfgdlc的专栏
07-18 4675
#include "stdafx.h" #define _WIN32_DCOM #include using namespace std; #include #include # pragma comment(lib, "wbemuuid.lib") int main(
Windows安全基础——Windows WMI详解
Liu_Bruce的博客
12-11 4167
WMI(Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
数据库出现0x80041010的错误(具体错误见图)
liushuang7342的专栏
05-26 1994
昨天晚上用数据库的时候,突然发现这个错误~于是上网搜了很多方法~最终找到一个成功的方法~~~ 通过写cmd命令即可解决这个问题:   通过上面的步奏即可解决问题~
数据库WMI 0x80041010 如何解决?
潛龍,勿用
03-09 8078
事件起因:      由于要做第二次机房收费系统,而数据库是必不可少的.但是自己之前已经装好了VS2010,在和数据库连接的时候提醒我不支持SQL2010,支持2005以及更高的版本(不过后来开会知道并不是不可以用,需要一些设置就可以了,不过那时候我已经卸载SQL2000已经装好SQL2008),因为自己之前担心SQL2000会删不干净.于是在删除之前做了一下准备,在网上查了查相关资料.本次问题的起因和自己删除SQL2000有关,在删除SQL2000的时候有一些文件删除不掉.文件夹地址是 "C:/Prog
.NET System.Management 获取windows系统和硬件信息
个人博客
04-13 519
ManagementObject用于创建WMI类的实例与WINDOWS系统进行交互,通过使用WMI我们可以获取服务器硬件信息、收集服务器性能数据、操作Windows服务,甚至可以远程关机或是重启服务器。
2020年3月第一周安全态势分享
安全解决方案
03-10 400
1.WMI 持久化技术简介 WMI(WindowsManagement Instrumentation)事件订阅(Event Subscription)是一种常见的持久化技术,该技术需要管理员权限,但具有无文件的好处,这意味着无需接触磁盘。简而言之,WMI 事件订阅技术允许将特定操作(获取 shell)绑定到 Windows 事件。为了实现这一目标,需要做两件事。__EventFilt...
适用于 Windows 操作系统的 WMI 筛选器
allway2的博客
02-28 814
Windows Server 2012 DCselect * from Win32_OperatingSystem where Version like "6.2%" and ProductType = "2"Windows Server 2012 select * from Win32_OperatingSystem where Version like "6.2%" and ProductType = "3"Windows 8 select * from Win32_OperatingSystem wh
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值