【权限维持技术】Windows: WMI 无文件后门(二)

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

WMI 类

WMI的数据结构被定义为一种类（Class）。其定义了数据的属性和行为。例如，“Win32_Process”是一个类，表示一个Windows进程，它具有名称、ID、状态等属性，并可能有启动、停止等行为。每一个特定的进程（如explorer.exe）就是这个类的一个实例。在WMI中，这些类都是定义在CIM（Common Information Model，共享信息模型）标准中的。

• Win32_Process（在rootCIMV2命名空间中）: 该类提供了有关当前运行在操作系统上的进程的信息。
• Win32_Service（在rootCIMV2命名空间中）: 表示一个Windows服务，提供了关于Windows服务的信息，如服务名称、描述、状态等，还可以用来启动和停止服务。
• Win32_OperatingSystem（在rootCIMV2命名空间中）:代表了操作系统的一个实例，包含了操作系统的信息，如版本号、操作系统名称、系统启动时间等。
• Win32_ComputerSystem（在rootCIMV2命名空间中）: 提供了关于物理计算机本身的信息，包括制造商、型号、处理器、内存等硬件信息及设置。
• Win32_DiskDrive和Win32_LogicalDisk（在rootCIMV2命名空间中）: 这两个类分别表示物理硬盘和逻辑磁盘（如分区），包括硬盘名称、容量、空闲空间等信息。

WMI 命名空间

在WMI中，命名空间（Namespace）用于组织类和实例。可以理解为一个独立的数据库，其中包含了一系列的类和实例。每个命名空间都有一个唯一的名称。比如，“rootCIMV2”是最常见的一个命名空间，包含了大量用于管理Windows系统的类。一般来说，一个类定义在一个特定的命名空间内，要查询或访问这个类，就需要指定它所在的命名空间。

• rootCIMV2: 这是最常用的命名空间，包含了管理Windows操作系统的大部分常用类。
• rootdirectoryLDAP: 用于Active Directory。
• rootsecuritycenter: Windows安全中心。

总结

本章介绍了WMI中非常重要的两个概念：类和命名空间。类是WMI的数据模型规范，而命名空间是组织类和实例的空间。下一章将介绍如何使用WMI来查询类和命名空间，真正的使用WMI完成系统查询操作。

原文始发于微信公众号（赛博安全狗）：【权限维持技术】Windows: WMI 无文件后门(二)