三好学生2015/09/07 10:20 0x00 前言 前两篇分别介绍了WMI Attacks & WMI Backdoor，侧重于攻击，所以这篇介绍一下WMI Defense，攻防结合，便于大家更清楚认识WMI. 0x01 简介 本篇侧重于介绍如何通过Powershell调用WMI监视自身系统、记录入侵行为，并对WMI的检测工具做具体测试。 0x02 测试环境 Win8 x86 powershell v3（win8默认安装） 开启Winmgmt服务，支持WMI 0x03 监视系统 *注： 以下均为Powershell代码 1、监视进程创建 $filterName = 'BotFilter48' $consumerName = 'BotConsumer48' #查询进程创建事件 $Query = "SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'" $WMIEventFilter = Set-WmiInstance -Class __EventFilter -NameSpace "root/subscription" -Arguments @{Name=$filterName;EventNameSpace="root/cimv2";QueryLanguage="WQL";Query=$Query} -ErrorAction Stop […]

您可能也喜欢：
美时尚品牌 Rebecca Minkoff 推出智能手镯	Europe's shock Google privacy ruling: The end of history? Don't be daft	【聚类简介】第一部分：游戏中的行为数据分析	Dedecms 会员中心注入漏洞4	You Can Now Buy Google Glass Directly From The Play Store
无觅