欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

谈谈追踪WMI Activity的一些基础办法

来源:本站整理 作者:佚名 时间:2017-10-19 TAG: 我要投稿

WMI(Windows Management Instrumentation)自Windows 2000以来不停是Windows操纵体系中的一个功效,该功效对体系管理员来说是异常重要的,它可以或许得到计算机外部状况的信息,可以或许对磁盘、进程、和其余 Windows 体系对象停止建模,从而实现“唆使”功效。恰是因为WMI的这类灵活性,在它晚期被引入Windows操纵体系时,收集入侵攻击者常常应用WMI来对计算机实行入侵攻击。WMI是微软Windows操纵体系中的一个异常重要的技巧,但从网安的角度斟酌,今朝尚未一种卓有成效的办法去记载某用户操纵WMI功效的行动运动。对付“防守者”而言,他们平日应用第三方对象或本身编写的解决方案往来来往记载操纵WMI的行动运动,但这在一定程度上并不可以或许阻拦“入侵攻击者”操纵WMI来履行各类收集入侵攻击的行动。在本文中,咱们将看看微软是若何改良记载WMI操纵行动功效的。
WMI Activity Provider
在2012年以前,Windows体系中的WMI Activity变乱日记法式重要用于在WMI启历时记载其跟踪和调试信息,但在Windows新刊行版本中扩大了该法式的功效,应用Operational选项可以或许对WMI的操纵行动停止记载。上面咱们将应用PowerShell对该新功效停止阐发,并应用Get-WinEvent cmdlet来得到信息。
咱们起首得到Provider法式的对象:
PS C:\> $WmiProv = Get-WinEvent-ListProvider "Microsoft-Windows-WMI-Activity"
PS C:\> $WmiProv
Name     : Microsoft-Windows-WMI-Activity
LogLinks : {Microsoft-Windows-WMI-Activity/Trace, Microsoft-Windows-WMI-Activity/Operational, Microsoft-Windows-WMI-Activity/Debug}
Opcodes  : {}
Tasks    : {}
PowerShell对该对象的输入停止了格局化处置,是以咱们必要应用Format-List参数来检查一切属性和属性的值。
 PS C:\> $WmiProv | Format-List -Property *
ProviderName      : Microsoft-Windows-WMI-Activity
Name              : Microsoft-Windows-WMI-Activity
Id                : 1418ef04-b0b4-4623-bf7e-d74ab47bbdaa
MessageFilePath   : C:\WINDOWS\system32\wbem\WinMgmtR.dll
ResourceFilePath  : C:\WINDOWS\system32\wbem\WinMgmtR.dll
ParameterFilePath :
HelpLink          : https://go.microsoft.com/fwlink/events.asp?CoName=Microsoft Corporation&ProdName=Microsoft@Windows@Operating
                    System&ProdVer=10.0.15063.0&FileName=WinMgmtR.dll&FileVer=10.0.15063.0
DisplayName       : Microsoft-Windows-WMI-Activity
LogLinks          : {Microsoft-Windows-WMI-Activity/Trace, Microsoft-Windows-WMI-Activity/Operational, Microsoft-Windows-WMI-Activity/Debug}
Levels            : {win:Error, win:Informational}
Opcodes           : {}
Keywords          : {}
Tasks             : {}
Events            : {1, 2, 3, 11...}
上面让咱们看看LogLinks或许Provider法式将变乱日记保留在哪里。
PS C:\> $WmiProv.LogLinks
LogName                                    IsImported DisplayName
-------                                    ---------- -----------
Microsoft-Windows-WMI-Activity/Trace            False
Microsoft-Windows-WMI-Activity/Operational      False
Microsoft-Windows-WMI-Activity/Debug            False
上述Powershell的输入中,咱们比拟感兴趣的是Microsoft-Windows-WMI-Activity/Operational。如今咱们曾经肯定了哪一个EventLog会保留咱们感兴趣变乱的日记,上面咱们可以或许看看Provider法式天生的变乱日记。平日情况下,Provider可以或许从几个变乱中天生跨越100个变乱日记。是以,咱们应用Measure-Object cmdlet来检查Provider天生的变乱数目。
PS C:\> $WmiProv.Events | Measure-Object
Count    : 22
Average  :
Sum      :
Maximum  :
Minimum  :
Property :
经由进程上述输入咱们看到Provider天生了22个变乱,上面咱们应用Get-Member cmdlet来看看若何组合每一个对象。
PS C:\> $WmiProv.Events | Get-Member
   TypeName: System.Diagnostics.Eventing.Reader.EventMetadata
Name        MemberType Definition
----        ---------- ----------

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载