网络中检测远程WMI应用

最新推荐文章于 2024-03-19 23:32:22 发布
最新推荐文章于 2024-03-19 23:32:22 发布
阅读量2.2k 收藏
点赞数
分类专栏: 安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oneVs1/article/details/9138167
版权
本文介绍了如何在网络中检测Windows Management Instrumentation (WMI)的应用,重点在于利用WMI的DCOM组件和RPC调用来识别远程活动。通过监控特定的RPC调用,特别是IWbemLevel1Login和IWbemServices接口,以及检测两个特定的UUID,可以识别WMI的网络行为,这对于入侵检测和网络安全审计至关重要。
摘要由CSDN通过智能技术生成

Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术,用户可以使用 WMI 管理本地和远程计算机。参见这里了解更多WMI知识:http://www.cnblogs.com/haiq/archive/2011/01/14/1935377.html

通常乐意使用WMI的有两种人:IT管理员和黑客。作为入侵检测产品有必要检测网络中WMI的应用,作为审计信息以备管理员查阅,发现网络异常行为。

WMI底层使用的是DCOM组件(Distribute COM),在网络上使用的是RPC远程调用。那么在网络中检测WMI应用其实就是检测特定的RPC调用。关于WMI调用过程中网络事件描述参考这里。IWbemLevel1Login,IWbemServices是WMI建立远程连接,使用远程服务必须调用的接口,它们就是要检测的目标。

首先在

最低0.47元/天 解锁文章
oneVs1
关注
专栏目录
WMI.rar_wmi
09-22
"测试操作系统的WMI功能是否开启"这部分描述表明,这个压缩包内的内容可能是用来检测WMI服务是否已启用,这对于确保管理系统时能够正确地获取和执行管理任务至关重要。 WMI的主要功能包括: 1. **系统监控**:WMI...
什么是WMI
12-19 1622
 什么是WMI WMI文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置于操作系统,并且成为了Windows系统管理的重要组成部分。所以大家很容易就能见到它的,因为我们至少也应该是个Windows 2000的使用者了。下面我将详细介绍它的每个细节,让你从不认识它到喜欢上它。 WMI能做什么? WMI不仅可以获取想要的计算机数据,而
[windows] 详解WMI的攻击与防御方法
永生天地
07-07 2447
详解WMI的攻击与防御方法<br /> <br />作者:黑客吧管理 <br /><br /><br />WMI是“Microsoft Windows 管理规范”的简称,需要“Windows Management Instrumentation”服务支持,而这个服务是默认启动的,这就为入侵提供了很大的方便。只要黑客知道了管理员的用户名和密码,而且本机的135端口已开启,黑客就可以在被入侵的机器上执行任意命令,取得控制权。而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空,这无
横向移动检测远程执行(四)WMI/WMIC
qq_27828281的博客
12-13 4922
横向移动——WMI/WMIC远程执行分析及溯源
【C#学习之路】WMI进程操作实现程序远程更新
最新发布
qq_25199617的博客
03-19 979
本博客旨在记录学习或开发遇到的一些问题。最近需要实现上位机局域网内,在本地和远程实现软件的更新,实际上就是实现本地和远程的文件、进程操作。文件操作好说,直接File.Copy()就好,本地进程操作使用Process()即可实现,主要是远程进程操作我多方查阅后使用WMI实现。提示:以下是本篇文章正文内容,下面案例可供参考希望会对你有所帮助。完整的程序是用WPF的MVVM模式实现的,也是我正在学习部分,完整代码有需自取(转到github。
Windows开启WMI时一些总结
weixin_30567225的博客
02-09 2705
  通过远程的方式连接WMI获取计算机信息时,可能会出现远程主机拒绝访问,这时就要通过下面的方式来开启当前计算机的WMI服务,下面以Win7和Win10为例来进行相关的说明,通过一步步排查去连接远程服务。 一 在本机测试是否可以连接远程主机WMI服务   1 按下Windows+R组合键,调用系统运行窗口。   2 输入wbemtest命令。 图1 调用WMI测试器   3 打开W...
利用WMI服务器捕捉消息,网络断线自动检测(delphi控件)
02-08
在Delphi,我们可以使用WMI客户端库(如WBEMScripting.SWbemLocator和WBEMScripting.SWbemServices)来连接到本地或远程WMI服务,并查询相关的网络接口信息。首先,我们需要创建一个SWbemLocator对象,然后用它...
使用WMI得到计算机的信息
08-26
在实际应用WMI常被用于系统监控工具、性能分析工具、自动部署脚本以及故障排查程序。例如,通过WMI可以监控CPU利用率、内存使用情况、网络连接状态,甚至可以远程管理其他Windows机器,实现跨网络的批量管理。 ...
C#winfrom分屏远程控制
07-17
在IT领域,C# WinForm是一种常用的开发桌面应用程序的框架,尤其在企业级应用广泛使用。本项目“C# WinForm分屏远程控制”旨在实现对多台远程计算机的屏幕控制,允许用户在一个界面上同时监控和操作多个远程桌面。...
WMITools.exe
05-30
1. **系统信息获取**:WMI可以提供详细的系统信息,包括硬件组件、操作系统版本、网络配置、安装的应用程序等。 2. **事件日志查看**:通过WMI,你可以查看系统事件日志,了解系统运行的错误和警告信息。 3. **...
windows开启远程Wmi服务支持
墨鱼菜鸡
09-09 550
wmi不仅支持本地也同样支持远程,这里介绍一下怎么快速的让当前操作系统开启远程服务。 首先这里以windwos7为例,有的朋友说,开启远程wmi没有,我说这个东西有用,他说没有用,我说小伙子还是太年轻了。这里需要当前用户是管理员权限的,当然默认的登陆用户都是管理员的,但是存在着像我一样的懒人,不给虚拟机的windows设置密码,这样是不行的,需要给当然...
剑走偏锋--使用WMI获取远程计算机进程程序集查毒病毒打造内网安全环境
04-09 1141
剑走偏锋-使用WMI获取远程计算机进程程序 集查毒病毒打造内网安全环境 作者:高玉涵 时间:2019.04.1815:45 博客:blog.csdn.net/cg_i 作者背景环境参见: 《由永恒之蓝病毒引发的运维安全思考——网络边界防御篇 》 《非常运维 一体化终端安全管理系统自动安装脚本详解》 TMOTWTDI-- Perl名言 真正见功夫的地方不在于代码本...
WMI远程访问问题解决方法
qq_38472451的博客
05-03 911
WMI远程访问问题解决方法
【基础篇】————18、隐匿攻击之WMI
Fly_鹏程万里
05-26 1346
Windows Management Instrumentation(WMI)是一项Microsoft技术,旨在允许管理员跨网络执行本地和远程管理操作。由于WMI是自Windows 98以来存在的Windows生态系统的一部分,因此无论是运行Windows 10还是Windows XP,它几乎可以在每个网络使用。可以通过WMI执行的一些操作是: 命令执行 文件传输 读取文件和注册表项 文...
C#利用Wmi远程控制pc或者获取远程pc的配置信息
Akuma专栏
10-19 5930
WMI是Windows Management Instrumentation的简称,即:视窗管理规范。在Windows 2000或以后的版本均安装得有,NT4.0则需要安装WMI的核心组件。通过WMI可以获取远程计算机的各种数据信息,控制远程计算机的各种行为,而这就像操作本地机一样方便、简单。  一.WMI简介  WMI从根本上说应该为一种服务,并且对于本地不同的用户,WMI所有的权限也不一样。
远程调用WMI安装软件
weixin_34075551的博客
11-04 592
 Invoke-WMIMethod  -ComputerName $ip -Credential $cred -path Win32_product -Name Install -ArgumentList @($true,$null,"D:\temp\install.msi") 
WMI的使用
weixin_45007073的博客
08-01 2939
WMI介绍基本命令 介绍 WMI的全名为"Windows Management Instrumentation"。从win8后,Windows操作系统都支持WMIWMI可以在本地或者远程管理计算机系统。 自从PsExec在内网被严格监控后,越来越多的反病毒厂商将PsExec加入了黑名单,于是乎攻击者转向使用WMI进行横向移动。在渗透时发现,在使用wmiexec进行横向移动时,Windows操作系统默认不会将WMI的操作记录在日志。因为这个过程不会记录日志,所以对蓝队来说大大增加了溯源的成本。对攻击者来
使用WMI来连接远端计算机
灰太狼的博客
09-09 5518
1. wmi连接前提利用wmi来连接远端计算机首先要具有远端计算机管理员的用户名和密码。如果计算机在域的话,要有域管理员用户名和密码,或者是把域帐户加入本机管理员组也可以。2. 相关类的用法--- ConnectionOptions和ManagementScopeConnectionOptions用于设置连接选项,比如设置所连接机器的域,用户名,密码等。ManagementScop
WMI的讲解(是什么,做什么,为什么)
热门推荐
Ping_Pig的博客
11-09 2万+
讲在前面:     笔者在阅读了WMI的微软官方文档以及国内优秀前辈的介绍文章后,获益匪浅,WMI是一个较为老的知识点了,但是对于想要简单理解WMI的同学来说,对于一个新的知识点进行理解最好是能够有生动形象的例子进行抛砖引玉式的解读,将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚,使其读者能够快速的理解并为读者接下来深入理解打好基础,以便在攻防更好的利用WMI,所以此篇文章笔者使用通俗的话语将WMI表达清楚,在下文对于基础薄弱的同学对于COM组件、Pr
新手指南:WMI脚本开启远程3389实践与WMI基础知识
文章首先回顾了WMI在入侵检测的潜在作用,提到了Python与WMI的结合示例,这表明WMI并非仅仅局限于系统安全领域,而是可以用于编写各种系统管理脚本,包括远程开启3389端口,如用于远程桌面服务的RDP(Remote ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值