开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在powershell脚本中的方法调用后刷新wmi对象的属性

在PowerShell脚本中，要在方法调用后刷新WMI对象的属性，您可以使用Get-WmiObject cmdlet重新获取WMI对象的最新属性。以下是一个示例：

# 获取WMI对象
$wmiObject = Get-WmiObject -Class Win32_Process -Filter "Name='notepad.exe'"

# 调用WMI对象的方法
$wmiObject.Terminate()

# 刷新WMI对象的属性
$wmiObject = Get-WmiObject -Class Win32_Process -Filter "Name='notepad.exe'"

# 检查属性是否已刷新
Write-Host "Process ID: $($wmiObject.ProcessId)"

在上述示例中，我们首先使用Get-WmiObject cmdlet获取一个名为Win32_Process的WMI对象，过滤条件为进程名为notepad.exe。然后，我们调用了WMI对象的Terminate方法来终止进程。

接下来，我们使用Get-WmiObject cmdlet再次获取相同的WMI对象，以获取最新的属性值。这样，我们就可以检查属性是否已刷新，并在控制台输出进程ID。

相关搜索:如何在powershell脚本中读取属性文件的值如何在powershell脚本中获取对象的键和值的数组？在Vue js中强制方法调用后，如何从父对象获取更新的属性？如何在React Hooks中访问对象内部的方法中的对象属性如何在Javascript中创建对象和改变其属性的方法？如何在一个方法中更改不同对象的相同属性？如何在Python中访问一个对象的方法/属性以在另一个对象中使用？php后台接口调用 php无刷新增删改 php中刷新验证码

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

再探勒索病毒之删除卷影副本的方法

勒索软件作者的最新方法是直接从他们的代码（或脚本）中调用删除影子副本。而PowerShell命令则受到勒索软件的青睐，在一行简单的代码中列举并删除所有影子副本的实例。...与其使用已知的主机进程作为PowerShell核心，不如使用.NET框架从自己的进程中执行PowerShell脚本。比如UnmanagedPowerShell和SharpPick。...调用COM对象 WMI可以通过COM来编程使用，而不是命令行工具或PowerShell，正如我们前面提到的，VSS架构本身就是基于COM的，所以可以直接使用更直接的方法来操作这些对象。...5.打开备份卷的句柄（即C:，影子副本属性中的 “原始卷”）。...查询影子副本属性可以使用我们之前介绍的工具（vssadmin、WMI和COM对象）。步骤1-4是可选的，但要记住，它们保证了程序的有效性，跳过它们可能会导致失败或意外的结果。 ?

3.1K4 0

Windows WMI 详解（一）

tasklist //打开任务管理器8）除了WIN32_Process属性之外还有很多属性，如需查询更多的WMI属性，我们可以通过Powershell中的命令来进行查看。...Powershell是windows下功能很强大的脚本语言，其内部包含了及其丰富与WMI进行交互的功能。9）通过Powershell与WMI进行更多的交互，如图1-7所示。...powershell //切换到Powershell10）若要通过Powershell查看当前系统中所有属性可以执行如下命令操作，执行完毕后如图1-8所示。...1.PowerShellPowerShell是Windows操作系统下非常强大的脚本语言，可以通过PowerShell管理Windows系统中的所有功能。...WMI资源管理器允许用户浏览完整的WMI管理类集、对象及其属性，浏览远程计算机上的对象和设置，以及执行任何WQL查询和查看结果集6.WSHVBScript和JScript是Microsoft提供的两种WSH

1.1K1 0

技术分享-持久性-WMI事件订阅

然而，各种框架，如 Metasploit、Empire、PoshC2、PowerSploit 和多个 PowerShell 脚本和 C# 工具可用于自动化此技术，为代码执行提供不同的触发器和各种选项。...PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...脚本的集合，其中包含用于通过 WMI 进行持久性的 PowerShell 脚本。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence )，它默认使用regsvr32方法执行任意命令，以便从远程服务器运行任意脚本。 ....该脚本使用 WMI 存储库来存储恶意命令，该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。

2.8K1 0

粘滞键项权限维持

之后在目标主机中连续五次shift即可执行SYSTEM权限的命令行，这在RDP远程登录用户密码已被修改的情况下很有用~ ?.../invoke_wmi_debugger (Empire: powershell/lateral_movement/invoke_wmi_debugger) > info (Empire: powershell.../invoke_wmi_debugger) > set TargetBinary sethc.exe (Empire: powershell/lateral_movement/invoke_wmi_debugger...Powershell 粘性键持久性技术是众所周知的，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg...编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性 $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion

1.3K2 0

狩猎二进制重命名

在此示例中，利用实时“外部” WMI 事件触发器进行进程执行监控，从所有执行的进程中收集进程 ID。Win32_Process 的查询可以进一步提供有关进程的元数据，收集 PE 属性便于检测。...在我自己的测试中，非常短暂的命令（如重命名命令 cdm /c echo ）无法生成WMI数据，在本地ping事件记录中稍有延迟。...我提供了一个带有卸载说明的 Powershell 安装脚本，支持 Powershell 2.0 及以上。...如正在使用的 pe.versioninfo 的 InternalName 属性： ?...作为目标检测的一部分，围绕性能的其他优化也可以是针对特定感兴趣的位置的查询。要记住使用 Powershell 方法利用 Windows API。

1.3K2 0

Windows维权之粘滞键项维权

window Vista以上的操作系统中修改sethc会提示需要trustedinstaller权限，trustedinstaller是一个安全机制，即系统的最高权限，权限比administrator管理员高.../invoke_wmi_debugger(Empire: powershell/lateral_movement/invoke_wmi_debugger) > info(Empire: powershell...invoke_wmi_debugger) > set TargetBinary sethc.exe(Empire: powershell/lateral_movement/invoke_wmi_debugger...(放大镜Win + U启动再选择）之后在目标主机上按5次shift即可触发后门代理(中间会有一个弹窗迅速闪过，用于执行命令，笔者也未捕获到)之后在empire中成功反弹后门代理：Powershell粘性键持久性技术是众所周知的...，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性

3501 0

内网渗透基石篇——权限维持分析

因为后门可能允许一个普通的、未经授权的用户控制计算机，所以攻击者经常使用后门来控制服务器。...WMi型后门 WMI型后门只能由具有管理员权限的用户运行。WMI型后门通常是用PowerShell扫描的可以直接从新的WMI属性中读取和执行后门代码、给代码能。...通过这种方法，攻击者可以在系统中安装一个具有持久性的后门，且不会在系统中门外的任何文件。WMI 型后使用了 WMI 的两个特征，即无文件和无进程。...其基本原理为：将代码加密存储于WMI中，实现无文件；当设定的条件被满足时，系统将自动启动PowerShell进程去执行后门程序，执行后，进程将会消失，实现无进程。...3.验证环境进入目标机器上，验证wmi 在powershell中直接输入下面的命令结果中可以看到 CommandLineTemlate中的内容包含 powershell.exe Get-WMIObject

1.4K2 0

初识(fileless malware)无文件非恶意软件

简介 1）、Powershell 是一个跨平台的开源的自动化和管理配置框架 2）、Powershell 基于.NET，由命令行 shell 和脚本语言组成 3）、Powershell 被允许完全访问诸多...windows 功能，如 WMI、COM 对象以及其他管理功能（功能齐全，因此也被广泛用于合法工作中） 4）、Powershell 能够从内存执行paylaod（这也是 powershell 能够被用于无文件攻击的重要原因...2）、WMI 提供有关本地或远程计算机状态的信息，并且可以用于配置安全设置，例如系统属性，用户组，调度进程或禁用错误日志记录 3）、WMI 的一个重要功能是能够使用 DCOM 或 WinRM 协议与远程计算机的...、wmi、，NET 等目前也都已经是各大安全厂商的重点查杀对象，但是由于无文件、在内存执行、合法等特性，查杀依然还是很困难，简单的变形往往都能绕过某些针对特征的查杀不同AV对LOLBins的查杀力度不同...实际一点的做法是使用 Powershell 提供的新日志记录功能分析脚本，并在可能的情况下对所需的脚本进行数字签名。但是这是一个很庞大的工作量，需要一个自动的脚本来实现。

1.2K1 0

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

文章目录[隐藏] 命名空间类列出类 2.2 获取类 2.3 删除类实例方法 3.1 列出方法 3.2 使用方法 4 设置对象属性 5 结论本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI...name="lsass.exe"' 现在我们知道在 WMI 中列出、获取和过滤类的实例，让我们看看在 WMI 中删除实例是如何工作的。...方法方法可操作 WMI 对象，如果向上滚动到我们列出所有可用类的位置，你会注意到一个名为 Methods 的列，其中列出了可用的方法。...view=powershell-5.1#parameters 3.2 使用方法 Invoke-WmiMethod (WMI) 和 Invoke-CimMethod (CIM cmdlet) 允许我们使用特定类的方法...但是，重要的是要记住实例应该是可写的。通过编写一些脚本，我们可以编写一个获取类的所有可写属性的方法。

1.6K2 1

权限维持分析及防御

WMI中，达到所谓的无文件。...清理WMI后门的方法：删除自动运行列表中的恶意WMI条目使用Get-WMIObject命令删除与WMI持久化相关的组件二、WEB后门 WEB后门俗称WebShell 1、Nishang下的WebShell...Nishang是针对PowerShell的渗透测试工具集成了框架、脚本（包括下载和执行、键盘记录、DNS、延时命令等脚本）和各种Payload 存在ASPX的“大马”在\nishang\Antak-WebShell...主要用来实现Windows的身份认证功能，如NTLM、Kerberos等 API接口是SSPI 如果获得了网络中目标机器的System权限，可以使用该方法进行持久化操作： LSA（Local Security...如果获取了域管理员权限，可以将SID History作为实现持久化的方法（1）方法将Administrator的SID添加到恶意用户test的SID History属性中打开—个具有域管理员权限的命令行窗口

1K1 0

WMI ——重写版

类包含属性（Property）和方法（Method)。 WMI支持Schema的概念。Schema 是描述特定管理环境的一组类。...WMI Eventing ---- WMI 事件订阅是订阅某些系统事件的方法。...甚至略过了非常多的内容，如细节指出有误请务必指出。...进行 Persistence 的核心逻辑，很容易找到以下写好的Powershell 脚本： https://github.com/n0pe-sled/WMI-Persistence/blob/master...= & $Payload $Output = [Management.Automation.PSSerializer]::Serialize($Result, 5) #查阅MSDN，发现这是一种序列化对象的方法

2.1K1 0

利用 RDPWRAP 做 RDP 劫持的威胁检测

它的核心功能是利用 JavaScript 调用对象还原序列化（还原到内存）和从内存载入一个任意的 .NET v2/3.5 程序（脚本用 base64 编码）然后创建远程线程去执行。...或者 SBW/SW COM 对象的文档在这篇文章中，我们将讨论如何检测攻击者使用的两个方法来绕过基于宏的 office 恶意文件的现有标准/已知检测。...方法一：WMI macro 调用 WMI 生成一个新的进程，它能改变执行流，让 winword.exe 生成 cmd.exe 变成让 wmiprvse.exe 来生成 cmd.exe。...在 macro 执行过程中，winword.exe 会载入 4 个 WMI 相关模块，这些模块并不常用，所以可以用来检测这种技术。...COM 调用后，svchost.exe 承载的 DCOMLaunch 服务会生成一个涉及 ShellBrowserWindows CLSID 的具有命令行属性的 rundll32.exe 实例： ?

3.3K1 0

WMI持久性后门(powershell）(水文)

3.0.使用wmiclass创建 WMI 事件订阅创建 WMI 事件订阅的第一种方法是利用 wmiclass 类型加速器并使用 CreateInstance() 方法。...最后，我们需要将对象保存到 WMI 存储库中。...Stop-Service wuauserv -Verbose 4.0.使用 Set-WMIInstance创建 WMI 事件订阅此方法使用 –Arguments 参数，该参数接受将用于定义每个实例及其属性的哈希表...事件过滤器和两个 WMI事件Consumer，Consumer启动 base64 编码的 PowerShell 命令的命令行，然后加载存储在 Windows 注册表中的大型 PowerShell 脚本。...$WY79ad')) | iex 最后，脚本将加密的有效负载存储在 Windows 注册表中，在样本中，攻击者似乎对每个目标使用不同的注册表位置。

1.3K1 0

windows权限维持(二)

注册表类：普通注册表后门在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...Logon Scripts是优先于很多杀毒软件启动（部分杀毒是优先于他启动）的，所以可以通过这种方式将powershell命令写到bat脚本中，达到免杀隐藏启动的效果。...wmi执行后门技术 WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。...WMI在渗透测试中的价值在于它不需要下载和安装，因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生，不会留下任何痕迹。...版本的也可以直接使用别人写好的脚本：https://github.com/n0pe-sled/WMI-Persistence/blob/master/WMI-Persistence.ps1 当然以下工具都具有该功能

1.6K2 0

WMI利用（权限维持）

相关文章：WMI讲解(是什么，做什么，为什么) WMI利用(横向移动) 什么是WMI事件 WMI事件，即特定对象的属性发生改变时发出的通知，其中包括增加、修改、删除三种类型。...WMI事件中的事件消费者可以分为临时和永久两类，临时的事件消费者只在其运行期间关心特定事件并进行处理，永久消费者作为类的实例注册在WMI命名空间中，一直有效到它被注销。...$EventFilterArgs 中的 Name ###修改筛选器名称。 Query ###修改其中WQL语句，以下脚本中可不用修改，但TimerID需和$TimerArgs中的参数匹配。...WQL语句，也可以指定WITHIN来指定间隔时间，以秒为单位，但是需提前指定TimerID，可以自行修改PS1脚本进行完善，将添加后门、删除后门的操作集成到一个脚本内完成，同时免杀的操作可以针对性的进行混淆或编码的操作...SELECT * FROM __TimerEvent WITHIN 10 WHERE TimerID = 'Trigger' 上线C2 注意：将上述Powershell脚本替换其执行的Payload进行本地执行

1.9K2 1

使用Powershell 获取内网服务器信息和状态

我们可能首先想到的，也是使用不同的Module中的不同的命令，收集诸如 CPU，内存，磁盘，系统等不同的信息，其实在Powershell中，有两种方法去完成信息收集的过程。 1....而 CIM 标准在 Windows 平台实现的方法就是 WMI (Windows Management Instrumentation)。这也就是说通过 WMI，管理员可以获取系统中不同组件的信息。...在没有 Powershell 的年代，使用 VBScript 编写脚本时获取系统信息时，WMI 是不二之选；从 Windows Server 2008 到 Windows Server 2016 ，微软一直致力不断完善...，那个年代想在 Powershell 中获取网卡信息，就得靠 Powershell 调用 WMI 类来完成了。...你可以在命令行中运行 wmimgmt.msc 命令，打开WMI管理工具后，右键选择 WMI控制(本地)--属性，在高级选项卡中，选择更改后，就能查看如上截图的 WMI 命名空间，最上层的名称为 Root

2.3K4 0

红队技巧-常规横向手法

，用于管理本地或远程的Windows系统，攻击者使用wmi来进行攻击，但Windows系统默认不会再日志中记录这些操作，可以做到无日志，攻击脚本无需写入到磁盘，增加了隐蔽性。...，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特WMI允许脚本语言（例如VBScript或Windows PowerShell）在本地和远程管理...)（组件对象模型）的扩展，它允许应用程序实例化和访问远程计算机上COM对象的属性和方法，就像使用基于DCERPC的DCOM协议在本地计算机上的对象一样，有关每个COM（和DCOM）对象的标识，实现和配置的信息存储在注册表中...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表远程DCOM对象的实例表现如下：客户端计算机从远程计算机请求实例化由CLSID表示的对象。...在大多数情况下，新过程是在与DCOM通信关联的会话中创建的。然后，客户端可以访问新创建的对象的成员和方法。

2.1K2 0

通过逆向分析防御挖矿病毒「建议收藏」

金山毒霸安全实验室写的病毒分析 http://www.freebuf.com/column/149286.html 通过文章得知，病毒无落地文件，持久化在WMI属性中，启动靠WMI事件侦听器。...着重说下和之前金山文章中不同点。 1、挖矿程序清除了DOS MZ头，增加了-B参数用于在后台执行。 2、WMI远程执行已修复。 3、远程执行时不再释放y1.bat，现在已经直接修改为命令。...使用MS17-010 通过WMI远程执行需要目标机器的登陆凭据，在病毒中查找获取凭据的代码。通过mimikaz获取明文密码和NTLM Hash。...（禁用后XP/2003无法使用共享，Win7开始使用SMBv2） WMI远程调用 1、组件服务控制台中禁用administrators的远程权限杜绝minikaz获取Windows明文密码（Windows...我自己在虚拟机中测试时，直接在Powershell内执行启动挖矿脚本，火绒才弹出“隐蔽执行”的提示框。将病毒上传至VirusTotal也能看到大部分杀毒软件无法查杀。

1K2 0

无文件加密挖矿软件GhostMiner

GhostMiner细节 ghostminer使用wmi在受感染的计算机中执行任意代码并保持持久控制。 Event Filter \\....当触发eventconsumer时，它将从已安装的wmi“powershell command”对象的command和ccbot中读取条目。执行命令脚本时，将执行以下操作： ?...除了上述功能外，命令脚本还有一个wmi_killer函数，该函数终止正在运行的进程，并删除与恶意软件系相关联的计划任务和服务，例如： 1.Mykings 2.PowerGhost 3.PCASTLE 4...另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时，ccbot使用两个ip地址，即118.24.63.208和103.105.59.68作为c&c服务器。...除了command和ccbot，“powershell_command”类还包含以下对象： ? Miner是一个64位的有效负载，在对命令进行解码和执行时丢弃。

1.6K0 0

WMI讲解(是什么，做什么，为什么)

WMI的讲解(是什么，做什么，为什么) 讲在前面作者：pingpig@深蓝攻防实验室 WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁，尤其在横向移动中，利用wmic或者powershell...COM组件、Provider方法等专业名词可不做深度理解，只需要知道是WMI这个庞大工具的零件罢了，此文不足之处，望读者海涵....这些WMI的使用者，可以查询、枚举数据，也可以运行Provider的方法，还有WMI事件通知。当然这些数据操作都是要有相应的Provider来提供。...- 如果请求的是一个静态数据，WMI将从WMI存储库中查找数据并返回； - 如果请求的是一个动态数据，比如一个托管对象的当前内存情况，WMI服务将请求传递给已经在WMI服务中注册的相应的WMI提供者。...命名空间为SecurityCenter 注意：这里Powershell操作WMI的对象使用的是内置模块Get-WmiObject，以及查询的类为Win32_Service类，Win32_Service

1.3K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭