wmi执行命令

① 触犯远程wmi调用什么意思

这个说明你被黑客攻击了，或者是电脑中了病毒了。

在横向移动过程，攻击者可能会利用WMI（Windows Management Instrumentation）提供的功能，通过远程执行命令进行横向移动。在Windows平台，在客户端通常使用wmic执行命令，服务端会使用wmiprvse.exe来创建客户端请求的进程，wmic命令的基本格式如下：

CMD：wmic /node:host process call create “evil.exe”。

Powershell：Invoke-WmiMethod –Computer host –Class Win32_Process –Name create -Argument “c: empevil.exe” # 默认使用当前用户的凭证。

通过对源和目的主机的事件日志，注册表，文件系统进行分析，可以获得源主机运行程序wmic的时间，运行次数等信息，从目的主机可以获得客户端的源IP，可执行文件wmiprvse.exe及上传的恶意文件的执行时间等信息。

WMI简介：

WMI从根本上说应该为一种服务，并且对于本地不同的用户，WMI所有的权限也不一样。计算机超级用户可以为计算机中的每一个用户，设定不同的WMI权限。

在默认状态下，超级用户拥有WMI的一切权限。提供WMI服务是通过程序"WinMgmt.exe"来实现的。可以从"System32Wbem"目录中找到这个文件。

② Golang怎么执行windows的Wmi 命令呀，真心求教

程序运行太快肉眼辨睡眠5秒package mainimport ( "fmt" "time")func main() { fmt.Println("hello world !") time.Sleep(5 * time.Second)}

③ 电脑运行常用命令

mstsc－－－－－－远程桌面连接
logoff－－－－－－－－－注销命令Nslookup－－－－－－－IP地址侦测器
netstat
－an－－－－(TC)命令检查接口rononce
－p
－－－－15秒关机chkdsk.exe－－－－－Chkdsk磁盘检查tsshutdn－－－－－－－60秒倒计时关机命令lusrmgr.msc－－－－本机用户和组winchat－－－－－－－－XP自带局域网聊天win+R键打开运行命令行sndrec32－－－－－－－录音机explorer－－－－－－－打开资源管理器services.msc－－－本地服务设置oobe/msoobe
/a－－－－检查XP是否激活notepad－－－－－－－－打开记事本cleanmgr－－－－－－－**整理net
start
messenger－－－－开始信使服务compmgmt.msc－－－计算机管理net
stop
messenger－－－－－停止信使服务conf－－－－－－－－－－－启动
netmeetingdvdplay－－－－－－－－DVD播放器charmap－－－－－－－－启动字符映射表diskmgmt.msc－－－磁盘管理实用程序calc－－－－－－－－－－－启动计算器dfrg.msc－－－－－－－磁盘碎片整理程序devmgmt.msc－－－
设备管理器drwtsn32－－－－－－
系统医生dxdiag－－－－－－－－－检查DirectX信息regedt32－－－－－－－注册表编辑器Msconfig.exe－－－系统配置实用程序rsop.msc－－－－－－－组策略结果集mem.exe－－－－－－－－显示内存使用情况regedit.exe－－－－注册表progman－－－－－－－－程序管理器winmsd－－－－－－－－－系统信息perfmon.msc－－－－计算机性能监测程序winver－－－－－－－－－检查Windows版本sfc
/scannow－－－－－扫描错误并复原taskmgr－－－－－任务管理器（2000／xp／2003）wmimgmt.msc－－－－打开windows管理体系结构(WMI)wupdmgr－－－－－－－－windows更新程序w脚本－－－－－－－－windows脚本宿主设置write－－－－－－－－－－写字板winmsd－－－－－－－－－系统信息wiaacmgr－－－－－－－扫描仪和照相机向导mem.exe－－－－－－－－显示内存使用情况Msconfig.exe－－－系统配置实用程序mplayer2－－－－－－－简易widnows
media
playermspaint－－－－－－－－画图板
mplayer2－－－－－－－媒体播放机magnify－－－－－－－－放大镜实用程序mmc－－－－－－－－－－－－打开控制台mobsync－－－－－－－－同步命令dxdiag－－－－－－－－－检查DirectX信息drwtsn32－－－－－－
系统医生devmgmt.msc－－－
设备管理器dfrg.msc－－－－－－－磁盘碎片整理程序diskmgmt.msc－－－磁盘管理实用程序dcomcnfg－－－－－－－打开系统组件服务ddeshare－－－－－－－打开DDE共享设置dvdplay－－－－－－－－DVD播放器net
stop
messenger－－－－－停止信使服务net
start
messenger－－－－开始信使服务notepad－－－－－－－－打开记事本nslookup－－－－－－－网络管理的工具向导ntbackup－－－－－－－系统备份和还原narrator－－－－－－－屏幕“讲述人”ntmsmgr.msc－－－－移动存储管理器ntmsoprq.msc－－－移动存储管理员操作请求
syncapp－－－－－－－－创建一个公文包sysedit－－－－－－－－系统配置编辑器sigverif－－－－－－－文件签名验证程序sndrec32－－－－－－－录音机shrpubw－－－－－－－－创建共享文件夹secpol.msc－－－－－本地安全策略syskey－－－－－－－－－系统加密，一旦加密就不能解开，保护windows
xp系统的双重密码services.msc－－－本地服务设置Sndvol32－－－－－－－音量控制程序sfc.exe－－－－－－－－系统文件检查器sfc
/scannow－－－windows文件保护tsshutdn－－－－－－－60秒倒计时关机命令tourstart－－－－－－xp简介（安装完成后出现的漫游xp程序）taskmgr－－－－－－－－任务管理器eventvwr－－－－－－－事件查看器eudcedit－－－－－－－造字程序explorer－－－－－－－打开资源管理器packager－－－－－－－对象包装程序perfmon.msc－－－－计算机性能监测程序progman－－－－－－－－程序管理器regedit.exe－－－－注册表rsop.msc－－－－－－－组策略结果集regedt32－－－－－－－注册表编辑器rononce
－p
－－－－15秒关机regsvr32
/u
*.dll－－－－停止dll文件运行regsvr32
/u
zipfldr.dll－－－－－－取消ZIP支持cmd.exe－－－－－－－－CMD命令提示符chkdsk.exe－－－－－Chkdsk磁盘检查certmgr.msc－－－－证书管理实用程序calc－－－－－－－－－－－启动计算器charmap－－－－－－－－启动字符映射表cliconfg－－－－－－－SQL
SERVER
客户端网络实用程序Clipbrd－－－－－－－－剪贴板查看器conf－－－－－－－－－－－启动netmeetingcompmgmt.msc－－－计算机管理ciadv.msc－－－－－－索引服务程序osk－－－－－－－－－－－－打开屏幕键盘odbcad32－－－－－－－ODBC数据源管理器oobe/msoobe
/a－－－－检查XP是否激活lusrmgr.msc－－－－本机用户和组logoff－－－－－－－－－注销命令iexpress－－－－－－－木马捆绑工具，系统自带fsmgmt.msc－－－－－共享文件夹管理器utilman－－－－－－－－辅助工具管理器gpedit.msc－－－－－组策略

④ 电脑运行常见命令

一、功能键等的使用
F1：在程序中，可获得程序的帮助；在对话框中，可获得当前项的说明。
F2：更改文件或文件夹的名称（重命名）。
F3：弹出查找对话框。
F4：打开地址栏或当前组合框。
F5：刷新当前文件夹、磁盘。
F10：选中选单。
WIN键+E：快速打开资源管理器。
WIN键+R：“执行”。
WIN键+M：全部视窗最小化。
WIN键+Shift+M：取消全部视窗最小化。
WIN键+F1：Help。
WIN键+F：“寻找”。
WIN键+Ctrl+F：显示“查找电脑”。
WIN键+Tab：切换工作列的程式。
WIN键+Break：显示系统内容。
*键:在资源管理器中展开当前目录及其所有下级目录。
+键:展开当前目录。
二、Alt键的使用
Alt
+
Enter：切换DOS窗口最大话和最小化。
当光标指向某一文件或图表时，按Alt
+
Enter就可以调出该对象的属性。
打开窗口控制选单：Alt
+
-
打开系统控制选单：Alt
+
空格。
切换程序：Alt
+
Tab或Shift
+
Alt
+
Tab。
弹出下拉列表：在对话框中，可以通过Alt
+向下箭头键来弹出所选的下拉列表。
Alt
+
F4：以最快的方式关闭应用程序。
连续按下Alt
+
Esc键可以直接切换到已经运行但没有最小化的各个应用程序。
按住Alt键的同时双击我的电脑，可快速进入“系统属性”进行设置，或按住Win
+Pause。
三、Shift键的使用
彻底删除文件（夹）：选择需要删除的文件（夹），按下Shift
+
Del组合键，回车；或者，右击所选文件（夹），按住Shift键，然后单击“删除”。可以将文件直接删除，而不是将它放回“回收站”。
一次关闭（保存）所有文档；在程序（如
Word97）中如果打开了多个文档，按住Shift键，再单击文件选单，将增加一个全部关闭和一个全部保存选项。
一次关闭所有文件夹窗口：如果以窗口形式打开多个文件夹，则按住Shift键后单击关闭按扭，将关闭该文件夹窗口及其所有上级文件夹窗口。在打开文件时，按住Shift键，可以将文件在新的窗口打开；在关闭某一窗口时，按住Shift键，可以快速关闭一系列窗口。
快速启动：在Windows
98启动时按住Shift键直到启动完毕，可取消自动启动程序功能，跳过硬件检测，实现快速启动。
快速重新启动：关闭Windows时，选中“重新启动计算机”，然后按住Shift键，再单击“是”按扭，计算机将快速重新启动Windows
98，而不执行热启动。
强制移动：当拖放文件（夹）时，按住Shift键，然后放开文件（夹），可以将原文件（夹）强制移动到目标文件夹中。
切换全/半角状态：按Shift
+
空格键。
输入法转换：Shift
+
Ctrl。
按住Shift键，再用鼠标点击“x”按扭，则可以关闭该窗口的多个父窗口。
按住Shift键再打开“我的电脑”，快速启动资源管理器。
Shift
+
F10：快速打开弹出式菜单。
四、Ctrl键的使用
操作对象：复制：Ctrl
+
C；剪切：Ctrl
+
X；粘贴：Ctrl
+
V；恢复：Ctrl
+
Z；撤消恢复：
Ctrl
+
Y。
选择：全选：Ctrl
+
A；单选：Ctrl
+
左击。
程序通用快捷键：新建：Ctrl
+
N；打开：Ctrl
+
O；保存：Ctrl
+
S；打印：
Ctrl
+
P
多页对话框通用快捷键：查看下页：Ctrl
+
Tab（或Ctrl
+PageDown）查看上页：
Ctrl
+
Shift
+
Tab
（或Ctrl
+PageUp）。
打开/关闭输入法：Ctrl
+
空格。
输入法转换：Ctrl
+
Shift。
复制对象：Ctrl
+鼠标左键拖放。
为鼠标键减速：当用小键盘模拟鼠标操作时，可以用数字键（除5外）向各方向移动鼠标，按住Ctrl键可加速，而按住Shift键则可减速。
Ctrl
+
Home：快速到达文件头或所在窗口头部。
Ctrl
+
End：快速到达文件尾或所在窗口尾部

⑤ wmic命令有什么用

WMIC扩展WMI（Windows Management Instrumentation，Windows管理规范） ，提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编成语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要用WMI管理系统是很困难的。WMIC改变了这种情况，为WMI名称空间提供了一个强大的、友好的命令行接口。
WMIC比WMI简单、直观得多，这主要是由于使用了别名（Alias）。别名机制获取用户在命令行上输入的一些简单命令，按照预定义的方式操作WMI名称空间，例如根据一个简单的WMIC别名Get命令构造出一个复杂的WMI查询语言（WQL）命令。从这个意义上看，别名是用户和名称空间之间一个简化操作的中间层。例如，如果在WMIC命令行上执行下面这个简单的WMIC命令，就可以获得用户帐户的基本信息：
useraccount list brief
在上面的命令中，Useraccount别名执行了一个Win32_Useraccount类的WQL查询，以文本的形式显示出从该类提取的信息。另外，WMIC还以文本的形式显示出Win32_Useraccount类的属姓。除了文本形式的输出之外，WMIC还能够以其他形式返回命令执行结果，例如XML、HTML或者CSV（逗号分隔的文本文件）。
WMIC以WMI模式中类的实例的形式保存别名。默认的别名类——MSFT_CliAlias，以及其他支持WMIC的类保存在模式的默认名称空间，或者说root\cli角色。角色可以简单地看成专门用来支持WMIC的另一个WMI名称空间。默认角色root\cli连接到root\cimv2名称空间，操作root\cimv2之内的类。虽然使用WMIC时一般不需要用到CIM Studio，但CIM Studio可以用来方便地查看root\cli名称空间
你可以向root\cli名称空间和其他名称空间加入新的别名，还可以用Class和Path命令直接访问WMI名称空间，本文后面将详细说明Class和Path命令。
编辑本段运行WMIC
执行“wmic”命令启动WMIC命令行环境。这个命令可以在XP或 .NET Server的标准命令行解释器（cmd.exe）、Telnet会话或“运行”对话框中执行。这些启动方法可以在本地使用，也可以通过.NET Server终端服务会话使用。
第一次执行WMIC命令时，Windows首先要安装WMIC，然后显示出WMIC的命令行提示符。在WMIC命令行提示符上，命令以交互的方式执行。例如，执行下面的命令将关闭正在运行的Outlook：
process where name='outlook.exe' call terminate
命令运行结束后，WMIC命令行提示符重新出现。
WMIC也可以按照非交互的模式运行。如果要执行某个单步的任务，或者运行批命令中的一系列WMIC命令，非交互模式就很有用。要使用非交互模式，只要在同一个命令行上启动WMIC并输入要执行的命令就可以了。例如，执行cmd.exe打开一个命令行窗口，然后执行下面的命令，就可以输出连接到MACHINE1的打印机清单：
wmic /node:MACHINE1 printer list status
在这个例子中，第一个操作是启动WMIC，然后是根据/node参数建立一个到MACHINE1的远程连接，最后执行一个WMIC命令显示出打印机状态信息。命令运行结束后，返回到Windows命令行提示符状态。
安装了WMIC的机器可以连接到任何一台安装了WMI的机器，被连接的机器不需要安装WMIC。例如，从一台运行Win XP Pro的机器启动WMIC，可以连接和管理所有账行着XP、Win2K、Windows NT 4.0、Windows Me和Windows 9x的机器。
编辑本段WMIC命令行构成
WMIC提供了大量的全局开关、别名、动词、命令和丰富的命令行帮助增强用户接口。全局开关是适用于整个WMIC会话的配置选项。例如，/trace:on开关启用错误跟踪机制，如果这个开关处于打开状态，WMIC返回每一个命令的错误信息。利用/note开关可以访问远程机器，/interactive:on开关要求WMIC在执行删除操作之前提示确认，其他的全局开关还包括/role、/user、/implevel以及/namespace。
如前所述，别名是用户和WMI名称空间一个简化语法的中间层。当你指定一个别名时，动词（Verb）表示要执行的动作。例如，前面例子中的List和Call就是两个动词的例子。表一描述了其他一些WMIC动词，并为每一个动词给出了例子。
表一：WMIC动词
动词 例子 说明
Assoc group where name= 'administrators' assoc 显示出Administrators组与系统的所有关联，包括Administrators组成员等。
又如，os assoc显示出有关操作系统的信息和已经安装的补丁。
Create environment create name="progloc", username="work01\User1",variablevalue= "%programfiles%\prog01" 创建一个名字为Progloc的变量，把它的值设置为Program Files文件夹的一个子文件夹，把这个变量加入到Work01工作组计算机User1帐户。
Delete environment where(name= "progloc") delete 删除Progloc环境变量。测试WMIC命令时，为了防止意外地删除，可以使用/interactive:on全局开关，这时删除之前会要求确认。
Get partition get bootpartition, description, deviceid, bootable 返回分区是否可启动、描述信息和设备ID属姓等信息。
Set path WIN32_USERACCOUNT where(name="user01") set disabled="true" 在成员服务器或工作站上禁用User01用户帐户。
命令用来控制对WMIC和WMI名称空间的访问。注意表一的最后一个例子，这个例子用的是Path和Win32_USERACCOUNT类，而不是Useraccount别名。Path是一个直接访问WMI名称空间中实例的命令，不必再通过别名访问。如果待执行的系统管理任务没有现成的别名可用，Path命令特别有用。虽然你可以用新的别名和角色扩展WMIC，但如果你对WMI名称空间比较熟悉，使用Path命令也很方便。
除了Path命令之外，WMIC还支持Class、Context、Quit和Exit命令。Class命令用来直接访问WMI模式内的类或创建现有类的实例。Class命令和Path命令的不同之处在于，Path命令的作用对象是实例以及它的属姓（例如，提取管理用的信息），而Class命令的作用对象是类的定义。例如，如果要提取出WIN32_SOFTWAREELEMENT类的所有属姓，可以执行如下命令：
class WIN32_SOFTWAREELEMENT get
这个命令的输出是HTML格式，稍后我们将了解如何用/output全局开关把输出重定向到可用浏览器打开的HTML文件。Class命令加上Assoc动词能够显示出类的名称空间路径以及其他与该类关联的类。利用Class命令可以删除类、创建类的实例，但不能创建类。
Context命令显示出全局开关的当前设置。Quit和Exit命令用来退出WMIC命令提示符环境，返回以前的Shell环境（例如Telnet环境，或XP的命令行提示符环境）。
命令行帮助是熟悉WMIC的有效途径。表二是在WMIC提示符下查找信息的常用命令：
表二：命令行帮助
命令 例子 说明
/? 或 -? 显示所有全局开关和别名的语法
/ /? /user /? 显示指定全局开关的信息
/? class /? 显示某个命令的信息
/? memcache /? 显示某个别名的信息
/? temperature get /? 显示别名与动词组合的信息
/?:Full irq get /?:Full 显示动词的帮助信息

⑥ “运行”中可以执行的命令都有哪些功能是什么

开始→运行
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕"讲述人"
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码 services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
tsshutdn-------60秒倒计时关机命令
tourstart------xp简介（安装完成后出现的漫游xp程序）
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器
regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------垃圾整理
ciadv.msc------索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令
iexpress-------木马捆绑工具，系统自带
Nslookup-------IP地址侦测器
fsmgmt.msc-----共享文件夹管理器
utilman--------辅助工具管理器
gpedit.msc-----组策略
sndrec32-------录音机
Nslookup-------IP地址侦测器
explorer-------打开资源管理器
logoff---------注销命令
tsshutdn-------60秒倒计时关机命令
lusrmgr.msc----本机用户和组
services.msc---本地服务设置
oobe/msoobe /a----检查XP是否激活
notepad--------打开记事本
cleanmgr-------垃圾整理
net start messenger----开始信使服务
compmgmt.msc---计算机管理
net stop messenger-----停止信使服务
conf-----------启动 netmeeting
dvdplay--------DVD播放器
charmap--------启动字符映射表
diskmgmt.msc---磁盘管理实用程序
calc-----------启动计算器
dfrg.msc-------磁盘碎片整理程序
chkdsk.exe-----Chkdsk磁盘检查
devmgmt.msc--- 设备管理器
regsvr32 /u *.dll----停止dll文件运行
drwtsn32------ 系统医生
rononce -p ----15秒关机
dxdiag---------检查DirectX信息
regedit32-------注册表编辑器
Msconfig.exe---系统配置实用程序
rsop.msc-------组策略结果集
mem.exe--------显示内存使用情况
regedit.exe----注册表
winchat--------XP自带局域网聊天
progman--------程序管理器
winmsd---------系统信息
perfmon.msc----计算机性能监测程序
winver---------检查Windows版本
sfc /scannow-----扫描错误并复原
taskmgr-----任务管理器（2000／xp／2003）
control-----控制面板

⑦ windows运行命令

打开控制面板control

计算机管理compmgmt.msc

注销命令logoff

注册表regedit

系统加密（一旦加密就不能解开，保护windowsxp系统的双重密码）syskey

任务管理器taskmgr

自动更新wuaucpl.cpl

开机启动项msconfig

windows使用运行命令打开开机启动项步骤：

1、点击windows+R快捷键调出windows运行界面。

⑧ 请教一个WMI远程执行命令，获取命令输出结果

如果你不介意用第三方工具的话，那么介绍你一个微软合作伙伴赛门铁克出品的鼎鼎有名的psexec。该工具可以简单的远程执行命令/程序。

比方说你想远程操作192.168.0.102上面D盘根目录下的名叫abc.cmd的批处理文件，并且得到输出结果，你可以这样写代码。

Process myProcess = new Process();
myProcess.StartInfo.UseShellExecute = false;
myProcess.StartInfo.RedirectStandardOutput = true;
myProcess.StartInfo.FileName = "psexec";
myProcess.StartInfo.Arguments = @"\\192.168.0.102 -u Administrator -p 123456 cmd /c d:\abc.cmd";
myProcess.Start();
myProcess.WaitForExit();
string strRst = myProcess.StandardOutput.ReadToEnd();