免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
PowerShell交互
PowerShell作为一个强大的脚本语言,自然提供了很多指令用来与WMI进行交互。以下都是与WMI交互的PowerShell指令:
Get-WmiObjectGet-CimAssociatedInstanceGet-CimClassGet-CimInstanceGet-CimSessionSet-WmiInstanceSet-CimInstanceInvoke-WmiMethodInvoke-CimMethodNew-CimInstanceNew-CimSessionNew-CimSessionOptionRegister-CimIndicationEventRegister-WmiEventRemove-CimInstanceRemove-WmiObjectRemove-CimSession
WMI基本信息收集
上一章中我们讲到,可以使用WQL语言去查询Wimdows系统中的很多信息。而对于网络入侵和防御,以下信息最有可能被收集:
-
主机/操作系统信息:Win32_OperatingSystem, Win32_ComputerSystem -
文件/目录列举: CIM_DataFile -
磁盘卷列举: Win32_Volume -
注册表操作: StdRegProv -
运行进程: Win32_Process -
服务列举: Win32_Service -
事件日志: Win32_NtLogEvent -
登录账户: Win32_LoggedOnUser -
共享: Win32_Share -
已安装补丁: Win32_QuickFixEngineering
Get-WmiObject -Class Win32_OperatingSystem
Get-WmiObject -Class Win32_ComputerSystem
Get-WmiObject -Query "select * from CIM_DataFile where Path = '\Windows\'"
Get-WmiObject -Class Win32_QuickFixEngineering
反病毒与虚拟机检测
Get-WmiObject -Namespace rootSecurityCenter2 -Class AntiVirusProduct
Get-WmiObject -Query "SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory < 2147483648"Get-WmiObject -Query "SELECT * FROM Win32_ComputerSystem WHERE NumberOfLogicalProcessors < 2"-
查询网络适配器制造商名字包含"VMware"的项:
Get-WmiObject -Query "SELECT * FROM Win32_NetworkAdapter WHERE Manufacturer LIKE '%VMware%'"-
查询BIOS序列号包含"VMware"的项:
Get-WmiObject -Query "SELECT * FROM Win32_BIOS WHERE SerialNumber LIKE '%VMware%'"-
查询名字为"vmtoolsd.exe"的进程:
Get-WmiObject -Query "SELECT * FROM Win32_Process WHERE Name='vmtoolsd.exe'"-
查询网络适配器名称包含"VMware"的项:
Get-WmiObject -Query "SELECT * FROM Win32_NetworkAdapter WHERE Name LIKE '%VMware%'"
总结
原文始发于微信公众号(赛博安全狗):【权限维持技术】Windows: WMI无文件后门(四)—— 信息收集与反病毒检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论