跳转至

Windows管理规范

对手可能会滥用Windows管理规范(WMI)来执行恶意命令和负载。WMI是为程序员设计的,是Windows系统上管理数据和操作的基础设施。(引用: WMI 1-3) WMI是一种管理功能,提供了一个统一的环境来访问Windows系统组件。 WMI服务支持本地和远程访问,后者通过远程服务分布式组件对象模型Windows远程管理来实现。(引用: WMI 1-3) 远程WMI通过DCOM使用135端口,而通过WinRM使用HTTP时使用5985端口,使用HTTPS时使用5986端口。(引用: WMI 1-3) (引用: Mandiant WMI) 对手可以使用WMI与本地和远程系统交互,并将其作为执行各种行为的手段,例如用于发现以及执行命令和负载。(引用: Mandiant WMI) 例如,可以通过命令wmic.exe Shadowcopy Delete(即抑制系统恢复)滥用wmic.exe删除影子副本。(引用: WMI 6) 注意: wmic.exe自2024年1月起已被弃用,WMIC功能在Windows 11+上“默认禁用”。WMIC将从后续的Windows版本中移除,并由PowerShell作为主要的WMI接口替代。(引用: WMI 7,8) 除了PowerShell和wbemtool.exe等工具外,还可以通过C++、.NET、VBScript等编程语言使用COM API与WMI进行编程交互。(引用: WMI 7,8)