WMIC命令完全指南:网络安全运维工程师的深度实践手册

关键词:WMIC命令、Windows管理、网络安全运维、系统信息收集、进程分析、自动化审计


【实战总结】WMIC在HW行动中的4类关键应用

1. 前言

在Windows环境下的网络安全运维中,WMIC(Windows Management Instrumentation Command-line)是一个强大但常被低估的管理工具。它通过WMI(Windows Management Instrumentation)提供了对Windows系统的底层访问能力,可用于查询系统信息、配置管理、自动化运维和安全事件响应。

相较于图形化管理工具(如任务管理器、Computer Management),WMIC的优势在于:
脚本化执行——可以集成到.bat或PowerShell脚本中,适用于大规模运维。
深度系统访问——可查询注册表、进程、服务、硬件等底层数据。
远程管理能力——支持从一台主机直接查询/管理另一台主机(如AD域控)。

本文将从网络安全运维的角度,详细介绍WMIC的使用方法,并结合真实场景案例(如恶意进程分析、补丁审计、端口监控等)进行演示。


2. WMIC基础:从查询到管理

2.1 WMIC基本语法

WMIC的通用命令结构:

wmic [全局选项] <WMI类> [条件] <操作> [/<属性>] [/format:<格式>]

其中:

  • 全局选项:如远程管理参数/node/user/password
  • WMI类:定义查询的对象(如processserviceos
  • 条件:以where子句筛选目标(如where name="svchost.exe"
  • 操作:如get(查询)、call(调用方法)、delete(删除)
  • 格式:控制输出显示方式(listtablecsv等)

2.2 WMIC核心命令分类

在网络安全运维中,主要使用以下几类WMIC查询:

类别常用WMIC类应用场景
系统信息osbioscsproduct补丁审计、硬件资产登记
进程管理process排查恶意进程、内存分析
服务控制service安全服务管理(如关闭高危服务)
网络配置nicconfignetuse检查异常端口、共享目录审计
用户与权限useraccount检测特权账户、禁用失效账户
日志与事件nteventlog快速提取安全日志(如登录失败记录)

3. 网络安全运维中的WMIC实战

3.1 恶意进程排查(应急响应)

案例:某服务器CPU异常占用,疑似挖矿病毒。

排查步骤

1️⃣ 列出所有进程,按CPU使用率排序

wmic process get name,processid,executablepath,commandline,workingsetsize /format:csv | sort /r

👉 关键点

  • commandline可查看进程启动参数(挖矿病毒通常在命令行中藏有矿池地址)。
  • workingsetsize查看内存占用(异常高可能表明恶意软件注入)。

2️⃣ 定位父进程(查找进程树关系)

wmic process get name,processid,parentprocessid | findstr "可疑PID"

👉 技巧:结合tasklist /svcGet-Process -IncludeUserName(PowerShell)进一步分析。

3️⃣ 终止恶意进程

wmic process where processid=1234 delete

风险:某些病毒会监控WMIC调用并重新启动。建议先断网再杀进程。


3.2 补丁审计(漏洞评估)

案例:企业需确认主机是否已修复CVE-2023-xxxx漏洞。

1️⃣ 查看已安装补丁

wmic qfe list brief /format:table

输出示例:

HotFixID   Description      InstalledOn          InstalledBy
KB5029244  Security Update  10/10/2023 12:00:00  NT AUTHORITY\SYSTEM

2️⃣ 检查特定补丁是否存在

wmic qfe where hotfixid="KB5029244" get installedon

👉 高级用法:导出到CSV,供漏洞扫描工具分析:

wmic /output:"patches.csv" qfe list full /format:csv

3.3 异常网络连接检测(入侵排查)

案例:检测服务器是否存在后门连接。

1️⃣ 查看当前TCP/UDP连接

wmic netconnection get localaddress,localport,remoteaddress,remoteport,state,processid

👉 结合进程名分析

wmic process where processid=4567 get name,executablepath

2️⃣ 检查异常的SMB共享(如勒索病毒利用的IPC$):

wmic share where name="IPC$" get name,path

4. 进阶:WMIC的局限性 & 替代方案

虽然WMIC功能强大,但需注意:
Win11/Server 2022已弃用WMIC,但仍可通过PowerShell调用WMI:

Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId

更现代的替代方案

  • PowerShellGet-ProcessGet-Service
  • Sysinternals工具(如Process Explorer
  • Nmap(NSE脚本):对Windows主机远程信息收集

5. 总结 & 最佳实践

WMIC适用于

  • 老旧Windows系统(如Server 2008 R2)
  • 受限环境(无PowerShell但有CMD)
  • 快速信息收集(无需安装额外工具)

WMIC不适用于

  • 精细化分析(需结合日志分析工具)
  • 大规模自动化(建议用Ansible或PowerShell DSC)

安全建议
🔹 限制WMIC远程访问(关闭WMI服务winmgmt非必要情况)。
🔹 监控wmic.exe的异常调用(EDR/XDR可检测恶意WMIC使用)。


附:WMIC常用命令速查表

场景命令示例
查看系统信息wmic os get caption,version,serialnumber
获取BIOS信息wmic bios get serialnumber,manufacturer
检查启动项wmic startup get caption,command,location
查询所有服务wmic service get name,displayname,startmode,state
获取用户列表wmic useraccount get name,disabled,passwordchangeable
检查磁盘信息wmic logicaldisk get deviceid,filesystem,freespace,size

相关阅读推荐

  • 微软文档:WMI参考
  • 《Windows Sysinternals实战》——Mark Russinovich

📌 您的实战需求:如果您有特定的WMIC使用场景(如域控审计、勒索病毒应急响应),欢迎在评论区讨论,我将提供更针对性的解决方案!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/web/88294.shtml
繁体地址,请注明出处:http://hk.pswp.cn/web/88294.shtml
英文地址,请注明出处:http://en.pswp.cn/web/88294.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LKT4304稳定可靠高兼容性国产安全加密芯片

随着 IOT 的飞速发展&#xff0c;智能家居&#xff0c;智能汽车&#xff0c;智能工控等物联网设备和云服务的安全问题成为IOT普及的关键障碍。在设计之初就为物联网产品配备正确的安全解决方案&#xff0c;是帮助预防措施的关键所在。LKT4304是凌科芯安专为物联网应用场景而推出…

Android 网络开发核心知识点

Android 网络开发核心知识点 一、基础网络通信 1. HTTP/HTTPS 协议 HTTP方法&#xff1a;GET、POST、PUT、DELETE等状态码&#xff1a;200(成功)、404(未找到)、500(服务器错误)等HTTPS加密&#xff1a;SSL/TLS握手过程报文结构&#xff1a;请求头/响应头、请求体/响应体 2. 网…

DVWA靶场通关笔记-弱会话IDs(Weak Session IDs Medium级别)

目录 一、Session ID 二、代码审计&#xff08;Medium级别&#xff09; 1、配置security为Medium级别 2、源码分析 &#xff08;1&#xff09;index.php &#xff08;2&#xff09;Medium.php &#xff08;3&#xff09;对比分析 &#xff08;4&#xff09;渗透思路 三…

编辑器Vim的快速入门

如大家所了解的&#xff0c;Vim是一个很古老的编辑器&#xff0c;但是并没有随着时间的流逝消失在编辑器/IDE 的竞争中&#xff0c;Vim 独创的模式机制和 hjkl 移动光标方式使得使用者在编辑文件时可以双手不离开键盘&#xff0c;极大地提升了工作效率。由于 Vim 学习曲线极为陡…

深度学习核心:从基础到前沿的全面解析

&#x1f9e0; 深度学习核心&#xff1a;从基础到前沿的全面解析 &#x1f680; 探索深度学习的核心技术栈&#xff0c;从神经网络基础到最新的Transformer架构 &#x1f4cb; 目录 &#x1f52c; 神经网络基础&#xff1a;从感知机到多层网络&#x1f5bc;️ 卷积神经网络&am…

MySQL索引:数据库的超级目录

MySQL索引&#xff1a;数据库的「超级目录」 想象你有一本1000页的百科全书&#xff0c;要快速找到某个知识点&#xff08;如“光合作用”&#xff09;&#xff1a; ❌ 无索引&#xff1a;逐页翻找 → 全表扫描&#xff08;慢&#xff01;&#xff09;✅ 有索引&#xff1a;直接…

景观桥 涵洞 城门等遮挡物对汽车安全性的影响数学建模和计算方法,需要收集那些数据

对高速公路景观桥影响行车视距的安全问题进行数学建模&#xff0c;需要将物理几何、动力学、概率统计和交通流理论结合起来。以下是分步骤的建模思路和关键模型&#xff1a;一、 核心建模目标 量化视距&#xff08;Sight Distance, SD&#xff09;&#xff1a;计算实际可用视距…

Git 用户名和邮箱配置指南:全局与项目级设置

查看全局配置 git config --global user.name # 查看全局name配置 git config --global user.email # 查看全局email配置 git config --global --list # 查看所有全局配置查看当前项目配置 git config user.name # 查看当前项目name配置 git config user.email # 查看当前项目…

视频序列和射频信号多模态融合算法Fusion-Vital解读

视频序列和射频信号多模态融合算法Fusion-Vital解读概述模型整体流程视频帧时间差分归一化TSM模块视频序列特征融合模块跨模态特征融合模块概述 最近看了Fusion-Vital的视频-射频&#xff08;RGB-RF&#xff09;融合Transformer模型。记录一下&#xff0c;对于实际项目中的多模…

frp内网穿透下创建FTP(解决FTP“服务器回应不可路由的地址。使用服务器地址替代”错误)

使用宝塔面板&#xff0c;点击FTP&#xff0c;下载Pure-FTPd插件 点击Pure-FTPd插件&#xff0c;修改配置文件&#xff0c;找到PassivePortRange, 修改ftp被动端口范围为39000 39003&#xff0c;我们只需要4个被动端口即可&#xff0c;多了不好在内网穿透frp的配置文件中增加…

STM32控制四自由度机械臂(SG90舵机)(硬件篇)(简单易复刻)

1.前期硬件准备 2s锂电池一个&#xff08;用于供电&#xff09;&#xff0c;stm32f103c8t6最小系统板一个&#xff08;主控板&#xff09;&#xff0c;两个摇杆&#xff08;用于摇杆模式&#xff09;&#xff0c;四个电位器&#xff08;用于示教器模式&#xff09;&#xff0c…

华为OD机试_2025 B卷_最差产品奖(Python,100分)(附详细解题思路)

题目描述 A公司准备对他下面的N个产品评选最差奖&#xff0c; 评选的方式是首先对每个产品进行评分&#xff0c;然后根据评分区间计算相邻几个产品中最差的产品。 评选的标准是依次找到从当前产品开始前M个产品中最差的产品&#xff0c;请给出最差产品的评分序列。 输入描述 第…

飞算JavaAI:重塑Java开发效率的智能引擎

飞算JavaAI:重塑Java开发效率的智能引擎 一、飞算JavaAI核心价值 飞算JavaAI是全球首款专注Java语言的智能开发助手,由飞算数智科技(深圳)有限公司研发。它通过AI大模型技术实现: 全流程自动化:从需求分析→软件设计→代码生成一气呵成工程级代码输出:生成包含配置类、…

Java和Go各方面对比:现代编程语言的深度分析

Java和Go各方面对比&#xff1a;现代编程语言的深度分析 引言 在当今的软件开发领域&#xff0c;选择合适的编程语言对项目的成功至关重要。Java作为一门成熟的面向对象语言&#xff0c;已经在企业级开发中占据主导地位超过25年。而Go&#xff08;Golang&#xff09;作为Google…

CloudCanal:一款企业级实时数据同步、迁移工具

CloudCanal 是一款可视化的数据同步、迁移工具&#xff0c;可以帮助企业构建高质量数据管道&#xff0c;具备实时高效、精确互联、稳定可拓展、一站式、混合部署、复杂数据转换等优点。 应用场景 CloudCanal 可以帮助企业实现以下数据应用场景&#xff1a; 数据同步&#xff…

如何发现 Redis 中的 BigKey?

如何发现 Redis 中的 BigKey&#xff1f; Redis 因其出色的性能&#xff0c;常被用作缓存、消息队列和会话存储。然而&#xff0c;在 Redis 的使用过程中&#xff0c;BigKey 是一个不容忽视的问题。BigKey 指的是存储了大量数据或包含大量成员的键。它们不仅会占用大量内存&…

Golang读取ZIP压缩包并显示Gin静态html网站

Golang读取ZIP压缩包并显示Gin静态html网站Golang读取ZIP压缩包并显示Gin静态html网站1. 读取ZIP压缩包2. 解压并保存静态文件3. 设置Gin静态文件服务基本静态文件服务使用StaticFS更精细控制单个静态文件服务4. 完整实现示例5. 高级优化内存映射优化使用Gin-Static中间件6. 部…

参数列表分类法:基本参数与扩展参数的设计模式

摘要 本文提出了我设计的一种新的函数参数设计范式——参数列表分类法&#xff0c;将传统的"单一参数列表"扩展为"多参数列表协同"模式。通过引入"基本参数列表"和"扩展参数列表"的概念&#xff0c;为复杂对象构建提供了更灵活、更具表…

Ajax之核心语法详解

Ajax之核心语法详解一、Ajax的核心原理与优势1.1 什么是Ajax&#xff1f;1.2 Ajax的优势二、XMLHttpRequest&#xff1a;Ajax的核心对象2.1 XHR的基本使用流程2.2 核心属性与事件解析2.2.1 readyState&#xff1a;请求状态2.2.2 status&#xff1a;HTTP状态码2.2.3 响应数据属性…

ArcGIS 打开 nc 降雨量文件

1. 打开ArcToolbox&#xff0c;依次打开 多维工具 → 创建 NetCDF 栅格图层&#xff0c;将 nc 文件拖入 输入 NetCDF 文件输入框&#xff0c;确认 X维度&#xff08;经度&#xff09;、Y维度&#xff08;经度&#xff09; 的变量名是否正确&#xff0c;点击 确定。图 1 加载nc文…