免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
WMI 类
WMI的数据结构被定义为一种类(Class)。其定义了数据的属性和行为。例如,“Win32_Process”是一个类,表示一个Windows进程,它具有名称、ID、状态等属性,并可能有启动、停止等行为。每一个特定的进程(如explorer.exe)就是这个类的一个实例。在WMI中,这些类都是定义在CIM(Common Information Model,共享信息模型)标准中的。
-
Win32_Process(在rootCIMV2命名空间中): 该类提供了有关当前运行在操作系统上的进程的信息。 -
Win32_Service(在rootCIMV2命名空间中): 表示一个Windows服务,提供了关于Windows服务的信息,如服务名称、描述、状态等,还可以用来启动和停止服务。 -
Win32_OperatingSystem(在rootCIMV2命名空间中):代表了操作系统的一个实例,包含了操作系统的信息,如版本号、操作系统名称、系统启动时间等。 -
Win32_ComputerSystem(在rootCIMV2命名空间中): 提供了关于物理计算机本身的信息,包括制造商、型号、处理器、内存等硬件信息及设置。 -
Win32_DiskDrive和Win32_LogicalDisk(在rootCIMV2命名空间中): 这两个类分别表示物理硬盘和逻辑磁盘(如分区),包括硬盘名称、容量、空闲空间等信息。
WMI 命名空间
在WMI中,命名空间(Namespace)用于组织类和实例。可以理解为一个独立的数据库,其中包含了一系列的类和实例。每个命名空间都有一个唯一的名称。比如,“rootCIMV2”是最常见的一个命名空间,包含了大量用于管理Windows系统的类。一般来说,一个类定义在一个特定的命名空间内,要查询或访问这个类,就需要指定它所在的命名空间。
-
rootCIMV2: 这是最常用的命名空间,包含了管理Windows操作系统的大部分常用类。 -
rootdirectoryLDAP: 用于Active Directory。 -
rootsecuritycenter: Windows安全中心。
总结
本章介绍了WMI中非常重要的两个概念:类和命名空间。类是WMI的数据模型规范,而命名空间是组织类和实例的空间。下一章将介绍如何使用WMI来查询类和命名空间,真正的使用WMI完成系统查询操作。
原文始发于微信公众号(赛博安全狗):【权限维持技术】Windows: WMI 无文件后门(二)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论