使用WMI在Windows上检测防病毒 - 哪个命名空间？

使用WMI在Windows上检测防病毒时，可以使用"root\SecurityCenter"命名空间。

在这个命名空间中，可以获取到防病毒软件的相关信息，例如防病毒软件的名称、版本、状态等。可以使用WMI查询语言（WQL）编写查询语句，来获取这些信息。

例如，以下是一个使用WQL查询防病毒软件名称和状态的示例：

SELECT * FROM AntiVirusProduct

这个查询将返回安装在计算机上的所有防病毒软件的名称和状态。

需要注意的是，不同的防病毒软件可能使用不同的命名空间或者查询方式，因此在实际使用中需要根据具体情况进行调整。

相关·内容

WMI讲解(是什么，做什么，为什么)

笔者在学习了WMI后，将其分为四个模块（讲解、横向移动、权限提升、攻击检测），并写了四篇文章来讲解，还追加了小知识点的编写（WBEMTEST工具使用，普通用户使用wmic）。...WMI存储库是通过WMI Namespace(WMI命名空间)组织起来的。...在系统启动时，WMI服务会创建诸如root\default、root\cimv2和root\subscription等WMI命名空间，同时会预安装一部分WMI类的定义信息到这些命名空间中。...其他命名空间是在操作系统或者产品调用有关WMI提供者(WMI Provider)时才被创建出来的。简而言之，WMI存储库是用于存储WMI静态数据的存储空间。...的发布只是让我们管理的方式多了一种，本质上没有改变去使用WMI。

1.2K1 0

WMI技术介绍和应用——WMI概述

但是并不是所有脚本语言都可以使用WMI技术：它要支持ActiveX技术。那么WMI遵守的是哪个行业标准呢？是WBEM。WMI是对WBEM模型的一种实现。...WMI存储库是通过WMI Namespace(WMI命名空间)组织起来的。...在系统启动时，WMI服务会创建诸如root\default、root\cimv2和root\subscription等WMI命名空间，同时会预安装一部分WMI类的定义信息到这些命名空间中。...其他命名空间是在操作系统或者产品调用有关WMI提供者(WMI Provider)时才被创建出来的。简而言之，WMI存储库是用于存储WMI静态数据的存储空间。...当第一个管理应用向WMI命名空间发起连接时，WMI服务将会启动。当管理应用不再调用WMI时，WMI服务将会关闭或者进入低内存状态。如我们上图所示，WMI服务和上层应用之间是通过COM接口来实现的。

2.4K2 0

浅谈无文件攻击

这种类型的感染特别难以检测，因为大多数防病毒产品都没有检查固件的能力。按感染主机对无文件威胁进行分类在介绍了广泛的类别后，我们现在可以深入了解详细信息，并提供感染宿主的细目。...宏在Office进程的上下文中执行(，例如，Winword.exe)并使用脚本语言实现。防病毒无法检查任何二进制可执行文件。...基于脚本的(类型II：文件、服务、注册表、WMI存储库、shell)：默认情况下，Windows平台上提供JavaScript、VBScript和PowerShell脚本语言。...脚本是通用的，可以通过双击)或直接在解释器的命令行上执行，从文件(运行脚本。在命令行上运行允许恶意软件将恶意脚本编码为自动启动注册表项内的服务，作为WMI存储库中的WMI事件订阅。...检测难点无文件攻击由系统或软件漏洞侵入系统，利用受信任的软件或系统工具来躲避检测，通过注册表实现永久驻留，或者使用 WMI 功能定时自启，同时不断渗透进入其他计算机，利用操作系统特性来达到数据隐身，让基于文件监测的查杀手段失效

1311 0

Powershell 挖矿病毒处理与防范

最近，一种利用Powershell的挖矿病毒在企业网络中频繁爆发，该病毒其利用了WMI+Powershell方式进行无文件攻击，并长驻内存进行挖矿。...Powershell的挖矿病毒具备无文件攻击的高级威胁外，还具有两种横向传染机制，分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，极易在企业网的局域网内迅速传播。...0079nlvZly4g5y08a5rhxj30u00esmzx.jpg 某一天，当你检查服务器，发现很多服务器的CPU使用率特别高，且使用进程为Powershell.exe时，那么基本可以判定，您的服务器中了...详细步骤如下： 1.结束Powershell.exe进程由于服务器中了挖矿病毒后，整理反应会特别的慢，所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理（结束Powershell.exe...连接到默认的命名空间 0079nlvZly4g65waj8bwej30co09rgmd.jpg 0079nlvZly4g65waj89rxj30ca09mgmd.jpg 中了挖矿病毒的机器会多出个如下截图的类

2.8K4 1

狩猎二进制重命名

ATT&CK 技术项编号为 T1036 的二进制重命名技术，正在被越来越多的恶意软件所采用，本文介绍如何使用多种方法对该技术进行监控与检测。...WMI 事件几乎可以对所有操作系统事件进行操作，例如：登录事件、进程活动、注册表或者文件更改情况。 ? WMI 提供的能力可以认为是 EDR 用户空间事件跟踪的有限子集，但又无需安装服务或者程序。...局限使用WMI事件作为事件来源的一个局限是通常不能得到成熟的检测用例需要的所有数据。为了丰富数据，需要查询Win32_Process类。...在我自己的测试中，非常短暂的命令（如重命名命令 cdm /c echo ）无法生成WMI数据，在本地ping事件记录中稍有延迟。...作为目标检测的一部分，围绕性能的其他优化也可以是针对特定感兴趣的位置的查询。要记住使用 Powershell 方法利用 Windows API。

1.3K2 0

绕过杀软！SQL Server Transact-SQL 的无文件攻击姿势

排查注册表启动项，存在一个BGClients，执行c:\windows\system32\wbem\123.bat，看起来十分可疑： ?...终于在恶意文件被实时监控拦截的时间节点发现了两条通过数据库进程执行了可疑的cmd命令日志，用于运行c:\windows\debug和c:\progra~1目录下的exe文件，由此推测数据库中存在恶意的执行计划...可以看到，上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句，并且还有一些没有排查到的文件，可能被防病毒软件识别清除了。...四点，这个时间点好像似曾相识，每次防病毒软件弹出查杀到cabs.exe的时间好像都是四点，监控日志中数据库进程执行了恶意cmd命令的时间也是四点，直觉告诉我们，SQL作业中肯定还有问题，于是把目光投向了上一次漏掉的数据库作业...SQL Server使用强密码； 4.深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

1.1K1 0

你知道，我是怎样监控你所有打开EXE的吗

A 技术应用背景：目前已知在杀毒厂商以及游戏厂商的安全对抗过程中，常常需要准确的监控收集并进行检测用户创建打开的EXE应用程序是否是安全的。同时也可以将此技术应用于其他应用的安全对抗方案中。...A 效果展示：下图展示的是开启监控程序，这是进行监控电脑上包括系统自启动EXE程序以及用户主动点击启动应用程序的信息。 ?...WMI存储库是通过WMI Namespace(WMI命名空间)组织起来的。...在系统启动时，WMI服务会创建例如root\cimv2、root\default、root\subscription等等命名空间。...WMI服务扮演着WMi提供者、管理应用和WMI存储库之间的协调者角色。一般来说，它是通过一个共享的服务进程svchost来实施工作的。当第一个管理应用向WMI命名空间发起连接时，WMI服务将会启动。

1.5K2 1

无文件加密挖矿软件GhostMiner

早在2017年，已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件，该软件利用无文件技术和windows管理工具（wmi）。...GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。 Event Filter \\....WindowsPowerShell\v1.0\PowerShell.eXe -NoP -NonI -EP ByPass -W Hidden -E GhostMiner在根目录默认命名空间中安装名为....BULEHERO 5.其他一些恶意软件家族使用的通用malxmr变体，例如：BlackSquid wmi_killer还终止使用挖矿恶意软件常用端口列表的tcp通信。...但是，在删除之前，ghostminer会确定根驱动器上的可用磁盘空间。如果可用空间小于1 GB，则会减少10 MB大小的负载。

1.5K0 0

11.反恶意软件扫描接口 (AMSI)

Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。...AMSI一些可能失效的地方比如：从WMI名字空间、注册表、事件日志等非常规位置加载的脚本、不用 powershell.exe 执行(可用网络策略服务器之类的工具)的 PowerShell 脚本等。...AMSI 的工作原理当用户执行脚本或启动 PowerShell 时，AMSI.dll 被注入进程内存空间。在执行之前， 防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...创建 PowerShell 进程后，AMSI.DLL 将从磁盘加载到其地址空间。在 AMSI.DLL 中，有一个称为 AmsiScanBuffer() 的函数，本质上是用于扫描脚本内容的函数。...Office VBA + AMSI 当然amsi也可以检测vba和Java script 在实战中，使用宏攻击（钓鱼）也是我们常用的手法，所以我们要知道amsi对宏文件的检测流程在微软文档中我们可以看到

4.2K2 0

【脚本】python中wmi介绍和使用

大多用户习惯于使用众多的图形化管理工具来管理Windows资源，在WMI之前这些工具都是通过 Win32应用程序编程接口(Application ProgrammingInterfaces，API)...2.事件日志提供程序链接库文件：ntevt.dll 命名空间：root\cimv2 作用：管理 Windows 事件日志，例如，读取、备份、清除、复制、删除、监视、重命名、压缩、解压缩和更改事件日志设置...5.Windows 安装程序提供程序链接库文件：msiprov.dll 命名空间：root\cimv2 作用：提供对已安装软件信息的访问。...从上面可以看出在WMI中类（即内置提供程序）被分组到命名空间中，命名空间可以看成是一个组。比如，命名空间 root\cimv2 包括大部分表示通常与计算机和操作系统相关联的资源的类。...在使用类的时候要说明类所在的命名空间。类由属性和方法构成。这是可视化编程中的两个重要的概念。属性描述的是对象的状态，方法是对象可以执行的操作。

2.1K2 0

Windows WMI 详解之WMI ATTACK

1.信息收集当我们在拿到内网某一台机器权限时，第一时间要做的就是信息收集，WMI中的各种类为我们在内网信息收集方面提供了十分有利的条件，作为红队的我们可以利用如下WMI中各种类的子集来对目标进行全方面信息收集...2.杀毒引擎检测默认情况下，杀毒引擎会自动注册在WMI 中的 AntiVirusProductclass 类中的 root\SecurityCenter 或者是root\SecurityCenter2...命名空间中，我们可以执行SELECT * FROM AntiVirusProductWQL查询语句来查询当前已安装的杀毒引擎。...（1）事件订阅我们可以使用 WMI 的功能来订阅事件并在该事件发生时执行任意代码，从而在系统上提供持久化，例如：利用时间Event Consumer（事件处理）接⼝ActiveScriptEventConsumer...4.WMI攻击检测WMI拥有极其强大的事件处理子系统，因在操作系统中所有的操作行为都可以触发WMI的事件，我们可以将WMI理解成是微软操作系统中自带的一个免费IDS（入侵流量检测），WMI的定位就是实时捕获攻击者的攻击操作

2041 0

WMI使用技巧集

在 .NET 框架中，System.Management 命名空间提供了用于遍历 WMI 架构的公共类。除了 .NET 框架，还需要在计算机上安装 WMI 才能使用该命名空间中的管理功能。...用 System.Management 访问管理信息 System.Management 命名空间是 .NET 框架中的 WMI 命名空间。...此命名空间包括下列支持 WMI 操作的第一级类对象： " ManagementObject 或 ManagementClass：分别为单个管理对象或类。 ...今天简单介绍一个在.NET中如何通过与WMI（Windows 管理规范）的通讯，从而得到获取信息的目的。...WMI最早出现在Microsoft Windows 2000系统上，但它同样可以安装在Windows NT 4和Windows 9x计算机上。WMI是一种轻松获取系统信息的强大工具。

7992 0

使用Powershell 获取内网服务器信息和状态

什么是 WMI 类? 为什么要使用 WMI 类一个计算机的系统，它基本上包括了两个部分，软件和硬件，细分下来的话，硬件包括了 CPU，内存，磁盘，网卡，显卡等，而软件包括了操作系统，应用程序。...而 CIM 标准在 Windows 平台实现的方法就是 WMI (Windows Management Instrumentation)。这也就是说通过 WMI，管理员可以获取系统中不同组件的信息。...在没有 Powershell 的年代，使用 VBScript 编写脚本时获取系统信息时，WMI 是不二之选；从 Windows Server 2008 到 Windows Server 2016 ，微软一直致力不断完善...所以接下来的问题就是如何通过 WMI 类获取网卡信息； Powershell 如何调用 WMI 类。 WMI 类的组织形式，是一种层级结构，叫做命名空间，如下图 ?...你可以在命令行中运行 wmimgmt.msc 命令，打开WMI管理工具后，右键选择 WMI控制(本地)--属性，在高级选项卡中，选择更改后，就能查看如上截图的 WMI 命名空间，最上层的名称为 Root

2.3K4 0

Python通过WMI读取主板BIOS信息

Windows Management Instrumentation (WMI，Windows管理规范) 是Web-Based Enterprise Management (WBEM)的Windows实现...，是在Windows操作系统中管理和操作数据的基础设施。...WMI是一项核心的Windows管理技术，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程...单击“连接”按钮，在命名空间输入root\cimv2，然后单击“连接“按钮。 ? 连接成功之后，单击按钮“打开实例”： ? 在弹出来的窗口中输入Win32_BIOS，然后单击按钮“确定”： ?...Python扩展库wmi完美支持了WMI。首先使用pip命令安装该扩展库，如图： ? 然后编写Python程序，读取并显示BIOS信息： ? 代码运行结果： ?

2.7K10 0

导出域内用户hash的几种方法

NTDS.DIT文件经常被操作系统使用，因此无法直接复制，一般可以在以下Windows位置找到此文件： C:\Windows\NTDS\NTDS.dit 可以使用各种技术来提取此文件或存储在其中的信息，...但是大多数技术都使用以下方法之一： DRS 原生Windows二进制文件 WMI 接下来我们看看一般有哪些方法可以做到导出域内用户hash的方法 Mimikatz Mimikatz有一个功能（dcsync...WMI 可以通过WMI远程提取NTDS.DIT和SYSTEM文件。此技术使用vssadmin二进制文件来创建卷影副本。...如果已获取本地管理员凭据，则可以在本地或远程执行。在执行期间，fgdump将尝试禁用可能在系统上运行的防病毒软件，如果成功，则会将所有数据写入两个文件中。...如果存在防病毒或端点解决方案，则不应将fgdump用作转储密码哈希的方法以避免检测，因为大多数防病毒公司（包括Microsoft的Windows Defender）都会对其进行标记。

4.7K4 0

网络攻防对抗之“左右互搏术”

通过使用Windows事件查看器或SIEM代理收集它生成的事件并进行安全分析，可了解入侵者和恶意软件如何在网络系统上运行，从而识别恶意或异常活动。...EventID 17&18命名管道 Sysmon EventID 17在创建命名管道时生成，而恶意软件通常使用命名管道进行进程间通信。...EventID 18则是在客户和服务端之间建立命名管道连接时形成事件记录。以下两图分别展示了CS木马在靶机上产生的命名管道创建和连接日志。...通过对Sysmon每一个EventID事件分析，蓝队将会发现很多有安全价值的信息，对不同EventID进行关联，将会在入侵检测方面有较大的发挥空间。...病毒告警场景如果企业使用Windows Defender防病毒软件，那么可以将Defender日志集中收集分析。

1.3K3 0

DevOpt：WMIC命令使用技巧

简介 WMIC扩展WMI(Windows Management Instrumentation，Windows管理工具)，提供了从命令行接口和批命令脚本执行系统管理的支持。...在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。...如果不熟悉C++之类的编程语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要用WMI管理系统是很困难的。WMIC改变了这种情况。...windows 主机进行各种日常管理，,在正常的管理员的眼里 wmic 确实是远程管理的好帮手，但在渗透者眼中,它也同样是一把在目标内网进行横向渗透的趁手武器。...通用使用技巧在使用WMIC命令之前，首先目标主机必须开启 “Windows Management Instrumentation” 这个系统服务，但默认情况下这个服务是开启状态的，其次，目标主机的防火墙放行了

911 0

C#通过获取快捷方式指向目标的小示例触碰WMI

Anyway~今天说的是另一个途径——WMI（Windows Management Instrumentation），这个东东我了解不深，只知道很强大，几乎涉及win系统软硬件资源的方方面面，使用一种叫...\root\cimv2";//指定WMI的命名空间，如果不指定，默认就是这货，不区分大小写 string wql = @"SELECT Name, Target...的世界自成一体，也有命名空间，类，对象/实例，属性，方法等概念。...我目前倾向用数据库的结构来理解它：WMI就好比一个SQL实例，不同的命名空间就是SQL实例上不同的库，而WMI的类就是库里面的表，类的属性就是表里的字段，其余的方法什么的我目前还没概念，就不妄言了。...http://www.ks-soft.net/hostmon.eng/wmi/index.htm 3、还是WMI Explorer，只是主人不同，来自脚本工具大家人户SAPIEN，但目前在它官网找不到该工具的下载入口

6132 0

Windows WMI 详解（一）

2.查询用例1）在CDM命令行中执行wbemtest命令进入WMI测试器中，如图1-1所示。2）在使用之前我们现需要进行连接，选择默认连接选项即可，如图1-2所示。...交互的命令行管理工具，他不但可以管理本地计算机，还能够在足够的权限下管理域控中的其他计算机，WMIC是windows自带的一个功能，计算机只要支持WMI即可使用WMIC，WMIC因其强大的功能以及Windows...3.WbemtestWbemtest是Windows自带的一个与WMI基础结构交互的图形化工具，它支持任何windows系统，在运行中输入wbemtest即可打开，在弹出连接页面中选择命名空间(WBEMTEST...不会浏览命名空间，需要我们手动选择连接到指定命名空间)，默认选择root\cimv2，届时，通过Wbemtest工具进行枚举对象实例、执行查询、创建和修改WMI类和对象操作。...4.WinrmWinrm（Windows remote shell）即windows远程管理，它是windows操作系统的一部分，我们可以以管理员的身份在windows中使用该命令。

8481 0

Lateral Movement之WMI事件订阅

8372 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云