WMI信息收集 =》监测和监控WMI后门需要综合利用各种技术和工具来检测异常活动和潜在威胁。以下是一些常用的技术实现方法：

排查 WMI 性能问题 - Windows Server | Microsoft Learn

针对 WMI 问题的建议修补程序 - Windows Server | Microsoft Learn

方案指南：排查 WMI 连接和访问问题 - Windows Server | Microsoft Learn

Windows Management Instrumentation (WMI) 接口是微软提供的用于管理和监控Windows操作系统的一种标准接口。它允许开发人员通过编程方式获取有关计算机系统、网络服务、应用程序和其他组件的信息，以及对这些信息进行控制和操作。

WMI接口提供了一种灵活、强大的方式来管理Windows系统，可以通过脚本、编程语言（如C#、VB.NET）或命令行工具（如WMIC命令）来访问和操作系统的各个方面。它可以用于执行诸如查询系统信息、监视性能、配置系统设置等任务。

WMI的优点包括其广泛的功能和易于使用的编程接口。通过WMI，系统管理员和开发人员可以轻松地监控和管理Windows系统，从而提高系统的效率和可靠性。

Windows Management Instrumentation (WMI) 接口的底层原理涉及到几个核心组件：

1. WMI Provider: 提供了对特定信息的访问和操作。这些提供者可以是系统内置的，也可以是第三方开发的。它们负责收集系统信息并将其提供给WMI接口。

2. WMI Service: 在操作系统中运行的服务，负责管理和协调WMI请求。它负责加载和执行WMI提供者，并处理来自客户端的查询和命令。

3. WMI Repository: 存储了系统中可用的所有WMI类和对象的信息。这是一个数据库，用于存储系统配置、性能数据和其他与系统管理相关的信息。

4. WMI Query Language (WQL): 一种类似于SQL的查询语言，用于从WMI中检索信息。通过WQL，用户可以执行诸如选择、过滤和投影等操作，以获取所需的系统信息。

当用户发出WMI查询请求时，WMI服务首先将查询翻译成标准格式，然后将其发送给适当的WMI提供者。提供者根据查询的内容执行相应的操作，然后将结果返回给WMI服务，最终传递给用户。

WMI通过提供一种标准化的接口和查询语言，使用户能够轻松地访问和管理Windows系统的各个方面，从而实现了系统管理的自动化和简化。

WMI后门指的是通过Windows Management Instrumentation (WMI) 接口创建的恶意程序或代码，用于在受感染的系统上实现远程控制或持久性访问。这种后门利用了Windows操作系统自带的WMI服务，可以在后台执行各种系统管理任务，因此可以被恶意用户或黑客用来操控受感染的计算机。

WMI后门通常具有以下特征：

1. 隐蔽性： 利用了操作系统的合法功能，因此往往不容易被杀毒软件或安全工具检测到。
2. 持久性： 可以通过注册表、启动项或定时任务等方式实现在系统启动时自动运行，确保持久性地存在于受感染的系统中。
3. 远程控制： 允许攻击者通过网络远程控制受感染系统，执行命令、上传下载文件、收集信息等操作。
4. 灵活性： 可以根据攻击者的需求定制功能，例如添加反调试、加密通信等功能，提高攻击的成功率和持续性。

为什么会出现WMI后门？主要原因包括：

1. 合法性： WMI是Windows操作系统的一部分，具有强大的系统管理功能，因此攻击者利用这一特性来隐藏其恶意活动。
2. 难以检测： 由于WMI后门利用合法的系统功能，往往不容易被传统的安全软件或检测工具发现，增加了攻击的成功率。
3. 持久性： WMI后门可以通过注册表等方式实现持久性地存在于系统中，为攻击者提供长期的访问和控制权限。

为了防范WMI后门的攻击，建议采取以下措施：

• 及时更新操作系统和安全补丁，以修补WMI服务可能存在的漏洞。
• 使用防火墙和入侵检测系统来监控网络流量，及时发现并阻止恶意WMI命令的执行。
• 限制WMI服务的权限，仅允许必要的系统用户或管理员访问和操作WMI接口。
• 定期审查系统日志，以发现异常的WMI活动，并及时采取应对措施。

WMI后门的起源可以追溯到Windows操作系统引入WMI服务之后。Windows Management Instrumentation（WMI）是微软提供的系统管理框架，用于管理本地和远程计算机的系统信息、性能数据、事件日志等。它允许管理员通过编写脚本或使用管理工具来执行各种管理任务，例如监视系统性能、配置系统设置、收集系统信息等。

由于WMI服务的强大功能和广泛应用，恶意用户和黑客开始利用它来实现远程控制、信息窃取、持久性访问等恶意活动。WMI后门的出现与此密切相关，攻击者利用WMI服务的合法性和隐蔽性，开发出各种恶意程序或代码，用于在受感染的系统上建立后门，实现远程控制和持久性访问。

具体而言，WMI后门的起源可以追溯到网络攻击和恶意软件的发展历程中。随着对系统管理和远程控制需求的增加，以及对操作系统的不断深入理解，黑客开始利用操作系统本身的功能和服务来实施攻击。WMI服务作为Windows操作系统的一部分，提供了强大的管理功能，自然成为了攻击者的目标之一。

虽然WMI后门的确存在安全风险，但同时也促使了安全领域的研究和技术进步，例如加强对WMI服务的监控和限制、开发检测和防御WMI后门的安全工具等，以提高系统的安全性和防御能力。

WMI后门的发展经历了几个阶段，随着时间的推移和安全技术的发展，它们不断演变和改进。以下是WMI后门的主要发展阶段：

1. 基础阶段： 最早期的WMI后门主要是利用WMI服务提供的功能，通过执行WMI脚本或命令来实现远程控制和系统管理。这些后门可能会利用WMI事件订阅、持久性事件消费者等机制来隐藏自身，并在系统启动时自动运行，实现持久性访问。

2. 定制化阶段： 随着对WMI服务的深入了解和攻击技术的发展，WMI后门开始变得更加定制化和灵活。攻击者会针对特定的目标或环境定制后门，例如修改WMI脚本或命令以适应目标系统的特定配置，添加反调试和加密通信等功能以提高安全性。

3. 免杀阶段： 随着安全技术的进步和防御措施的加强，传统的安全软件和检测工具开始对WMI后门进行检测和防御。因此，攻击者开始开发免杀技术，使WMI后门能够规避安全软件的检测和阻止。这可能包括使用加密、代码混淆、多层嵌套等技术来隐藏恶意代码，以及利用合法的系统进程和权限来执行攻击。

4. 高级阶段： 部分WMI后门进化为高级持久性威胁（APT）工具，具有复杂的功能和攻击手段。它们可能会利用漏洞利用、社会工程学攻击、侧信道攻击等技术，与其他恶意软件和攻击向量相结合，构成更加复杂和隐蔽的攻击链。

在这些阶段中，WMI后门不断演变和发展，成为了网络攻击和信息安全领域的一个重要议题。为了有效防御WMI后门的攻击，安全专家和研究人员需要密切关注其发展动态，及时更新防御技术和措施，提高系统的安全性和抵御能力。

WMI后门的特征和行为可以因其类型、设计和实现方式而异，但一般来说，它们可能具有以下一些常见的特征和行为：

1. 利用WMI服务： WMI后门利用Windows Management Instrumentation（WMI）服务提供的功能来执行远程控制、系统管理和信息窃取等操作。这包括使用WMI脚本、命令或API来执行各种系统管理任务。

2. 持久性访问： WMI后门通常会实现持久性访问，以确保在系统重启后仍然可以访问受感染的系统。这可能包括在系统启动时自动运行、注册为WMI事件消费者等方式。

3. 隐蔽性和伪装： 为了规避检测和防御，WMI后门可能会采取各种措施来隐藏自身和伪装成合法的系统进程或活动。例如，它们可能会使用加密通信、代码混淆、名称变换等技术来模糊其行为和特征。

4. 远程控制功能： WMI后门通常具有远程控制功能，允许攻击者从远程位置执行各种操作，如文件操作、进程管理、命令执行等。这使得攻击者可以在受感染的系统上执行任意命令并获取所需的信息。

5. 信息窃取： 一些WMI后门可能会用于窃取系统信息、用户凭据、敏感文件等。它们可能会监视系统活动、收集用户输入、扫描网络等方式来获取目标信息。

6. 免杀技术： 为了规避安全软件和检测工具的检测，一些WMI后门可能会使用免杀技术，如代码加密、代码混淆、多层嵌套等，以减少其被检测到的可能性。

7. 横向移动： 高级WMI后门可能会利用WMI服务和其他攻击向量，如漏洞利用、社会工程学攻击等，实现在网络中的横向移动，扩大其影响范围和攻击目标。

 WMI后门的特征和行为多种多样，但通常具有利用WMI服务、实现持久性访问、远程控制功能、信息窃取等基本特征。检测和防御WMI后门需要综合考虑其特征和行为，结合有效的安全措施和工具来提高系统的安全性。

确保系统安全的关键是采取多层次的防御策略，以应对不同类型的攻击和威胁。以下是一些针对WMI后门的防御和安全加固策略：

1. 及时更新和维护系统： 定期更新操作系统、应用程序和安全补丁，以修补已知漏洞并增强系统的安全性。同时，及时维护系统配置，禁用不必要的服务和功能，以减少攻击面。

2. 强化访问控制： 实施严格的访问控制策略，限制对WMI服务和相关资源的访问权限。只授权必要的用户和应用程序访问，并使用最小权限原则来限制其操作范围。

3. 监控和审计： 部署网络监控和安全审计工具，持续监视系统和网络活动，及时检测异常行为和潜在的威胁。这包括监控WMI服务的活动、检查系统日志和事件记录等。

4. 安全配置WMI服务： 对WMI服务进行安全配置，限制其功能和权限，以减少攻击者利用WMI服务进行攻击的可能性。例如，禁用不必要的WMI类、限制远程访问和事件订阅等。

5. 网络隔离和分割： 将系统和网络分割为不同的安全区域，使用网络隔离和防火墙等技术来限制攻击者在网络中的活动范围，减少横向移动的可能性。

6. 教育和培训： 提供员工安全意识培训，加强对安全风险和威胁的认识，教导其如何遵循最佳的安全实践和操作规程，减少人为失误和社会工程学攻击的影响。

7. 应急响应和恢复计划： 制定完善的应急响应和恢复计划，包括应对WMI后门攻击的应急响应流程、恢复操作和数据备份策略等，以最小化攻击造成的影响和损失。

8. 安全软件和工具： 部署有效的安全软件和工具，如防病毒软件、入侵检测系统（IDS）、行为分析工具等，用于检测和阻止WMI后门等恶意活动。

综合采用这些防御和安全加固策略，可以有效降低系统受到WMI后门攻击的风险，并提高系统的安全性和抵御能力。

监测和监控WMI后门需要综合利用各种技术和工具来检测异常活动和潜在威胁。以下是一些常用的技术实现方法：

1. 网络流量分析： 使用网络流量分析工具监视网络流量，检测任何与WMI通信相关的异常流量模式。这可以帮助识别WMI后门的传输行为和数据交换。

2. 日志记录和分析： 开启系统和应用程序的日志记录功能，并定期分析日志以发现异常行为和潜在的攻击迹象。特别关注WMI服务相关的事件日志，如WMI服务的启动、连接和命令执行等。

3. 安全信息和事件管理（SIEM）： 使用SIEM工具来集中管理和分析系统和网络事件，以及日志数据。SIEM可以帮助检测WMI后门的活动并生成警报以进行进一步调查和响应。

4. 终端安全软件： 部署终端安全软件，如防病毒软件、反恶意软件工具等，用于检测和阻止WMI后门等恶意软件的安装和执行。

5. 行为分析： 使用行为分析工具来监视系统和应用程序的行为，识别异常的进程、文件操作和系统配置变化，以及可能的WMI后门活动。

6. 文件完整性监测： 使用文件完整性监测工具来检测系统文件和关键应用程序的变化，及时发现可能被修改或替换的文件，以防止WMI后门的植入和执行。

7. 规则和签名检测： 利用规则和签名检测技术来检测已知的WMI后门特征和行为模式，识别已知的攻击工具和恶意脚本。

8. 网络隔离和分割： 将系统和网络分割为不同的安全区域，使用网络隔离和防火墙等技术来限制WMI后门的传播和活动范围。

综合利用这些技术实现方法，可以帮助监测和监控WMI后门的活动，及早发现并应对潜在的安全威胁。

WMI后门的行为可以通过一些特征来触发检测，包括以下几个方面：

1. 异常的网络通信： WMI后门可能会通过网络与远程服务器或控制中心进行通信，以接收命令或传输数据。监测到系统与不寻常的IP地址或端口之间的通信可能是WMI后门存在的迹象。

2. 异常的进程行为： WMI后门可能会创建或操纵系统进程，以隐藏自身并执行恶意活动。监测到未经授权的进程行为，如异常的进程启动、频繁的进程创建或终止等，可能是WMI后门存在的指示。

3. 异常的系统文件和注册表修改： WMI后门可能会修改系统文件或注册表项，以实现持久性和隐藏性。检测到系统文件或注册表的未经授权修改或创建新的启动项可能是WMI后门存在的迹象。

4. 异常的WMI服务活动： WMI后门可能会利用WMI服务执行恶意操作，如执行命令、下载文件等。检测到异常的WMI服务活动，如未经授权的查询或执行操作，可能是WMI后门存在的指示。

5. 异常的系统性能： WMI后门可能会导致系统性能下降或异常增加的系统资源使用率。监测到异常的CPU、内存或磁盘使用率可能是WMI后门存在的迹象。

6. 异常的安全事件： WMI后门可能会触发安全事件，如异常登录尝试、文件访问失败等。检测到异常的安全事件或警报可能是WMI后门存在的指示。

7. 异常的网络端口或文件： WMI后门可能会使用特定的网络端口或文件进行通信或存储数据。检测到系统上存在未知的网络端口或异常的文件活动可能是WMI后门存在的迹象。

8. 异常的网络流量模式： 监测到系统上存在异常的网络流量模式，如大量的数据传输、频繁的连接尝试等，可能是WMI后门存在的迹象。

9. 异常的权限提升： WMI后门可能会尝试提升系统或进程的权限，以执行特权操作。检测到未经授权的权限提升行为可能是WMI后门存在的指示。

10. 异常的访问控制列表（ACL）修改： WMI后门可能会修改文件或目录的ACL，以绕过安全限制或隐藏自身。检测到ACL的异常修改可能是WMI后门存在的迹象。

11. 异常的用户行为： 监测到系统上存在异常的用户行为，如未经授权的账户登录、非正常工作时间的活动等，可能是WMI后门存在的指示。

12. 异常的系统服务： WMI后门可能会创建或操纵系统服务，以实现自身的启动和隐藏。检测到未经授权的系统服务或异常的服务行为可能是WMI后门存在的迹象。

13. 异常的系统日志： 监测到系统日志中存在异常的事件或错误，如未经授权的服务启动、系统错误等，可能是WMI后门存在的指示。

14. 异常的系统配置： WMI后门可能会修改系统配置以绕过安全控制或隐藏自身。检测到系统配置的异常修改或变化可能是WMI后门存在的迹象。

15. 异常的文件签名或数字证书： WMI后门可能会使用未经授权的文件签名或数字证书，以伪装自身并绕过安全检测。检测到异常的文件签名或证书可能是WMI后门存在的迹象。

16. 异常的系统行为模式： WMI后门可能会导致系统行为模式异常，如不寻常的系统启动时间、异常的系统响应速度等。监测到这些异常模式可能是WMI后门存在的迹象。

17. 异常的文件系统活动： WMI后门可能会对文件系统进行异常操作，如未经授权的文件访问、修改或删除文件等。检测到异常的文件系统活动可能是WMI后门存在的指示。

18. 异常的远程访问活动： WMI后门可能会导致异常的远程访问行为，如未经授权的远程登录、文件传输等。监测到这些异常的远程访问活动可能是WMI后门存在的迹象。

19. 异常的安全软件行为： WMI后门可能会试图绕过或禁用安全软件，以隐藏自身或保持持久性。监测到安全软件的异常行为或被禁用可能是WMI后门存在的指示。

20. 异常的数据加密或编码： WMI后门可能会使用加密或编码技术来隐藏通信内容或数据文件。检测到系统上存在异常的数据加密或编码活动可能是WMI后门存在的迹象。

21. 异常的定时任务： WMI后门可能会创建定时任务以执行特定的恶意活动，如定时执行恶意代码或下载文件。检测到未经授权的定时任务可能是WMI后门存在的指示。

22. 异常的硬件设备连接： WMI后门可能会导致异常的硬件设备连接行为，如未知设备的接入或不寻常的设备行为。监测到这些异常的硬件设备连接可能是WMI后门存在的迹象。

综合利用这些特征，可以提高检测和识别WMI后门的准确性和及时性，帮助及早发现并应对潜在的安全威胁。

综合监测和分析这些特征，可以帮助及早发现并应对WMI后门的存在和活动。

WMI信息收集

1. 检索系统已安装的软件
wmic product

2. 搜索系统运行服务
wmic service

2. 搜索运行中的程序
wmic process

4. 搜索启动程序
wmic startup

5. 搜索共享驱动盘
wmic netuse

6. 搜索时区
wmic timezone

7. 搜索用户帐户
wmic useraccount

8. 搜索计算机域控制器
wmic ntdomain

9. 搜索登录用户
wmic logon

10. 搜索已安装的安全更新
wmic qfe

Windows 10 1909

C:\Users\X>wmic /?

WMIC 已弃用。

[全局开关] <命令>

可以使用以下全局开关:
/NAMESPACE 别名在其上操作的命名空间的路径。
/ROLE 包含别名定义的角色的路径。
/NODE 别名在其上操作的服务器。
/IMPLEVEL 客户端模拟级别。
/AUTHLEVEL 客户端身份验证级别。
/LOCALE 客户端应使用的语言 ID。
/PRIVILEGES 启用或禁用所有权限。
/TRACE 将调试信息输出到 stderr。
/RECORD 记录所有输入命令和输出内容。
/INTERACTIVE 设置或重置交互模式。
/FAILFAST 设置或重置 FailFast 模式。
/USER 会话期间要使用的用户。
/PASSWORD 登录会话时要使用的密码。
/OUTPUT 指定输出重定向模式。
/APPEND 指定输出重定向模式。
/AGGREGATE 设置或重置聚合模式。
/AUTHORITY 指定连接的 <授权类型>。
/?[:<BRIEF|FULL>] 用法信息。

有关特定全局开关的详细信息，请键入: switch-name /?

当前角色中可以使用以下别名:
ALIAS - 对本地系统上可用别名的访问
BASEBOARD - 基板(也称为主板或系统板)管理。
BIOS - 基本输入/输出服务(BIOS)管理。
BOOTCONFIG - 启动配置管理。
CDROM - CD-ROM 管理。
COMPUTERSYSTEM - 计算机系统管理。
CPU - CPU 管理。
CSPRODUCT - SMBIOS 中的计算机系统产品信息。
DATAFILE - 数据文件管理。
DCOMAPP - DCOM 应用程序管理。
DESKTOP - 用户的桌面管理。
DESKTOPMONITOR - 桌面监视器管理。
DEVICEMEMORYADDRESS - 设备内存地址管理。
DISKDRIVE - 物理磁盘驱动器管理。
DISKQUOTA - 用于 NTFS 卷的磁盘空间使用量。
DMACHANNEL - 直接内存访问(DMA)通道管理。
ENVIRONMENT - 系统环境设置管理。
FSDIR - 文件系统目录项管理。
GROUP - 组帐户管理。
IDECONTROLLER - IDE 控制器管理。
IRQ - 中断请求线路(IRQ)管理。
JOB - 提供对使用计划服务安排的作业的访问。
LOADORDER - 定义执行依赖关系的系统服务的管理。
LOGICALDISK - 本地存储设备管理。
LOGON - 登录会话。
MEMCACHE - 缓存内存管理。
MEMORYCHIP - 内存芯片信息。
MEMPHYSICAL - 计算机系统的物理内存管理。
NETCLIENT - 网络客户端管理。
NETLOGIN - 网络登录信息(属于特定用户)管理。
NETPROTOCOL - 协议(及其网络特征)管理。
NETUSE - 活动网络连接管理。
NIC - 网络接口控制器(NIC)管理。
NICCONFIG - 网络适配器管理。
NTDOMAIN - NT 域管理。
NTEVENT - NT 事件日志中的项目。
NTEVENTLOG - NT 事件日志文件管理。
ONBOARDDEVICE - 主板(系统板)中内置的通用适配器设备的管理。
OS - 已安装操作系统的管理。
PAGEFILE - 虚拟内存文件交换管理。
PAGEFILESET - 页面文件设置管理。
PARTITION - 物理磁盘的已分区区域的管理。
PORT - I/O 端口管理。
PORTCONNECTOR - 物理连接端口管理。
PRINTER - 打印机设备管理。
PRINTERCONFIG - 打印机设备配置管理。
PRINTJOB - 打印作业管理。
PROCESS - 进程管理。
PRODUCT - 安装程序包任务管理。
QFE - 快速修复工程。
QUOTASETTING - 卷上的磁盘配额设置信息。
RDACCOUNT - 远程桌面连接权限管理。
RDNIC - 对特定网络适配器的远程桌面连接管理。
RDPERMISSIONS - 特定远程桌面连接的权限。
RDTOGGLE - 远程打开或关闭远程桌面侦听程序。
RECOVEROS - 操作系统出现故障时将从内存收集的信息。
REGISTRY - 计算机系统注册表管理。
SCSICONTROLLER - SCSI 控制器管理。
SERVER - 服务器信息管理。
SERVICE - 服务应用程序管理。
SHADOWCOPY - 卷影副本管理。
SHADOWSTORAGE - 卷影副本存储区域管理。
SHARE - 共享资源管理。
SOFTWAREELEMENT - 系统上安装的软件产品元素的管理。
SOFTWAREFEATURE - SoftwareElement 的软件产品子集的管理。
SOUNDDEV - 声音设备管理。
STARTUP - 当用户登录到计算机系统时自动运行的命令的管理。
SYSACCOUNT - 系统帐户管理。
SYSDRIVER - 基本服务的系统驱动程序管理。
SYSTEMENCLOSURE - 物理系统外壳管理。
SYSTEMSLOT - 物理连接点(包括端口、插槽和外设以及专用连接点)的管理。
TAPEDRIVE - 磁带驱动器管理。
TEMPERATURE - 温度传感器(电子温度计)数据管理。
TIMEZONE - 时区数据管理。
UPS - 不间断电源(UPS)管理。
USERACCOUNT - 用户帐户管理。
VOLTAGE - 电压传感器(电子电压表)数据管理。
VOLUME - 本地存储卷管理。
VOLUMEQUOTASETTING - 将磁盘配额设置与特定磁盘卷相关联。
VOLUMEUSERQUOTA - 每用户存储卷配额管理。
WMISET - WMI 服务操作参数管理。

有关特定别名的详细信息，请键入: alias /?

CLASS - 按 Esc 键可获取完整 WMI 架构。
PATH - 按 Esc 键可获取完整 WMI 对象路径。
CONTEXT - 显示所有全局开关的状态。
QUIT/EXIT - 退出程序。

有关 CLASS/PATH/CONTEXT 的详细信息，请键入: (CLASS | PATH | CONTEXT) /?