首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何在powershell脚本中的方法调用后刷新wmi对象的属性

在PowerShell脚本中,要在方法调用后刷新WMI对象的属性,您可以使用Get-WmiObject cmdlet重新获取WMI对象的最新属性。以下是一个示例:

代码语言:javascript
复制
# 获取WMI对象
$wmiObject = Get-WmiObject -Class Win32_Process -Filter "Name='notepad.exe'"

# 调用WMI对象的方法
$wmiObject.Terminate()

# 刷新WMI对象的属性
$wmiObject = Get-WmiObject -Class Win32_Process -Filter "Name='notepad.exe'"

# 检查属性是否已刷新
Write-Host "Process ID: $($wmiObject.ProcessId)"

在上述示例中,我们首先使用Get-WmiObject cmdlet获取一个名为Win32_Process的WMI对象,过滤条件为进程名为notepad.exe。然后,我们调用了WMI对象的Terminate方法来终止进程。

接下来,我们使用Get-WmiObject cmdlet再次获取相同的WMI对象,以获取最新的属性值。这样,我们就可以检查属性是否已刷新,并在控制台输出进程ID。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

再探勒索病毒之删除卷影副本方法

勒索软件作者最新方法是直接从他们代码(或脚本调用删除影子副本。而PowerShell命令则受到勒索软件青睐,在一行简单代码列举并删除所有影子副本实例。...与其使用已知主机进程作为PowerShell核心,不如使用.NET框架从自己进程执行PowerShell脚本。比如UnmanagedPowerShell和SharpPick。...调用COM对象 WMI可以通过COM来编程使用,而不是命令行工具或PowerShell,正如我们前面提到,VSS架构本身就是基于COM,所以可以直接使用更直接方法来操作这些对象。...5.打开备份卷句柄(即C:,影子副本属性 “原始卷”)。...查询影子副本属性可以使用我们之前介绍工具(vssadmin、WMI和COM对象)。步骤1-4是可选,但要记住,它们保证了程序有效性,跳过它们可能会导致失败或意外结果。 ?

3.1K40

Windows WMI 详解(一)

tasklist //打开任务管理器8)除了WIN32_Process属性之外还有很多属性,如需查询更多WMI属性,我们可以通过Powershell命令来进行查看。...Powershell是windows下功能很强大脚本语言,其内部包含了及其丰富与WMI进行交互功能。9)通过PowershellWMI进行更多交互,如图1-7所示。...powershell //切换到Powershell10)若要通过Powershell查看当前系统中所有属性可以执行如下命令操作,执行完毕后如图1-8所示。...1.PowerShellPowerShell是Windows操作系统下非常强大脚本语言,可以通过PowerShell管理Windows系统所有功能。...WMI资源管理器允许用户浏览完整WMI管理类集、对象及其属性,浏览远程计算机上对象和设置,以及执行任何WQL查询和查看结果集6.WSHVBScript和JScript是Microsoft提供两种WSH

1.1K10
  • 技术分享-持久性-WMI事件订阅

    然而,各种框架, Metasploit、Empire、PoshC2、PowerSploit 和多个 PowerShell 脚本和 C# 工具可用于自动化此技术,为代码执行提供不同触发器和各种选项。...PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库。...脚本集合,其中包含用于通过 WMI 进行持久性 PowerShell 脚本。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence ),它默认使用regsvr32方法执行任意命令,以便从远程服务器运行任意脚本。 ....该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数命令。以下函数将检索所有活动 WMI 事件对象

    2.8K10

    Windows维权之粘滞键项维权

    window Vista以上操作系统修改sethc会提示需要trustedinstaller权限,trustedinstaller是一个安全机制,即系统最高权限,权限比administrator管理员高.../invoke_wmi_debugger(Empire: powershell/lateral_movement/invoke_wmi_debugger) > info(Empire: powershell...invoke_wmi_debugger) > set TargetBinary sethc.exe(Empire: powershell/lateral_movement/invoke_wmi_debugger...(放大镜Win + U启动再选择)之后在目标主机上按5次shift即可触发后门代理(中间会有一个弹窗迅速闪过,用于执行命令,笔者也未捕获到)之后在empire成功反弹后门代理:Powershell粘性键持久性技术是众所周知...,一些攻击者者在网络攻击期间也常常使用它,除了上述Metasploit和Empire之外,我们还可以使用脚本来自动执行此方法,Preston Thornburg编写了以下PowerShell脚本,该脚本可以通过修改注册表来实现持久性

    35010

    WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

    文章目录[隐藏] 命名空间 类 列出类 2.2 获取类 2.3 删除类实例 方法 3.1 列出方法 3.2 使用方法 4 设置对象属性 5 结论 本篇文章是 WMI 攻击手法研究第二篇,主要研究 WMI...name="lsass.exe"' 现在我们知道在 WMI 列出、获取和过滤类实例,让我们看看在 WMI 删除实例是如何工作。...方法 方法可操作 WMI 对象,如果向上滚动到我们列出所有可用类位置,你会注意到一个名为 Methods 列,其中列出了可用方法。...view=powershell-5.1#parameters 3.2 使用方法 Invoke-WmiMethod (WMI) 和 Invoke-CimMethod (CIM cmdlet) 允许我们使用特定类方法...但是,重要是要记住实例应该是可写。通过编写一些脚本,我们可以编写一个获取类所有可写属性方法

    1.6K21

    内网渗透基石篇——权限维持分析

    因为后门可能允许一个普通、未经授权用户控制计算机,所以攻击者经常使用后门来控制服务器。...WMi型后门 WMI型后门只能由具有管理员权限用户运行。WMI型后门通常是用PowerShell扫描可以直接从新WMI属性读取和执行后门代码、给代码能。...通过这种方法,攻击者可以在系统安装一个具有持久性后门,且不会在系统中门外任何文件。WMI 型后使用了 WMI 两个特征,即无文件和无进程。...其基本原理为:将代码加密存储于WMI,实现无文件;当设定条件被满足时,系统将自动启动PowerShell进程去执行后门程序,执行后,进程将会消失,实现无进程。...3.验证环境 进入目标机器上,验证wmipowershell中直接输入下面的命令 结果可以看到 CommandLineTemlate内容包含 powershell.exe Get-WMIObject

    1.4K20

    权限维持分析及防御

    WMI,达到所谓无文件。...清理WMI后门方法: 删除自动运行列表恶意WMI条目 使用Get-WMIObject命令删除与WMI持久化相关组件 二、WEB后门 WEB后门俗称WebShell 1、Nishang下WebShell...Nishang是针对PowerShell渗透测试工具 集成了框架、脚本(包括下载和执行、键盘记录、DNS、延时命令等脚本)和各种Payload 存在ASPX“大马”在\nishang\Antak-WebShell...主要用来实现Windows身份认证功能,NTLM、Kerberos等 API接口是SSPI 如果获得了网络目标机器System权限,可以使用该方法进行持久化操作: LSA(Local Security...如果获取了域管理员权限,可以将SID History作为实现持久化方法 (1)方法 将AdministratorSID添加到恶意用户testSID History属性 打开—个具有域管理员权限命令行窗口

    1K10

    初识(fileless malware)无文件非恶意软件

    简介 1)、Powershell 是一个跨平台开源自动化和管理配置框架 2)、Powershell 基于.NET,由命令行 shell 和脚本语言组成 3) 、Powershell 被允许完全访问诸多...windows 功能, WMI、COM 对象以及其他管理功能(功能齐全,因此也被广泛用于合法工作) 4) 、Powershell 能够从内存执行paylaod(这也是 powershell 能够被用于无文件攻击重要原因...2) 、WMI 提供有关本地或远程计算机状态信息,并且可以用于配置安全设置,例如系统属性,用户组,调度进程或禁用错误日志记录 3) 、WMI 一个重要功能是能够使用 DCOM 或 WinRM 协议与远程计算机...、wmi、,NET 等目前也都已经是各大安全厂商重点查杀对象,但是由于无文件、在内存执行、合法等特性,查杀依然还是很困难,简单变形往往都能绕过某些针对特征查杀 不同AV对LOLBins查杀力度不同...实际一点做法是使用 Powershell 提供新日志记录功能分析脚本,并在可能情况下对所需脚本进行数字签名。但是这是一个很庞大工作量,需要一个自动脚本来实现。

    1.2K10

    利用 RDPWRAP 做 RDP 劫持威胁检测

    核心功能是利用 JavaScript 调用对象还原序列化(还原到内存)和从内存载入一个任意 .NET v2/3.5 程序(脚本用 base64 编码)然后创建远程线程去执行。...或者 SBW/SW COM 对象文档 在这篇文章,我们将讨论如何检测攻击者使用两个方法来绕过基于宏 office 恶意文件现有标准/已知检测。...方法一:WMI macro 调用 WMI 生成一个新进程,它能改变执行流,让 winword.exe 生成 cmd.exe 变成让 wmiprvse.exe 来生成 cmd.exe。...在 macro 执行过程,winword.exe 会载入 4 个 WMI 相关模块,这些模块并不常用,所以可以用来检测这种技术。...COM 调用后,svchost.exe 承载 DCOMLaunch 服务会生成一个涉及 ShellBrowserWindows CLSID 具有命令行属性 rundll32.exe 实例: ?

    3.3K10

    WMI持久性后门(powershell)(水文)

    3.0.使用wmiclass创建 WMI 事件订阅 创建 WMI 事件订阅第一种方法是利用 wmiclass 类型加速器并使用 CreateInstance() 方法。...最后,我们需要将对象保存到 WMI 存储库。...Stop-Service wuauserv -Verbose 4.0.使用 Set-WMIInstance创建 WMI 事件订阅 此方法使用 –Arguments 参数,该参数接受将用于定义每个实例及其属性哈希表...事件过滤器和两个 WMI事件Consumer,Consumer启动 base64 编码 PowerShell 命令命令行,然后加载存储在 Windows 注册表大型 PowerShell 脚本。...$WY79ad')) | iex 最后,脚本将加密有效负载存储在 Windows 注册表,在样本,攻击者似乎对每个目标使用不同注册表位置。

    1.3K10

    windows权限维持(二)

    注册表类: 普通注册表后门 在一般用户权限下,通常是将要执行后门程序或脚本路径填写到如下注册表键值HKCU\Software\Microsoft\Windows\CurrentVersion\Run...Logon Scripts是优先于很多杀毒软件启动(部分杀毒是优先于他启动),所以可以通过这种方式将powershell命令写到bat脚本,达到免杀隐藏启动效果。...wmi执行后门技术 WMI可以描述为一组管理Windows系统方法和功能。我们可以把它当作API来与Windows系统进行相互交流。...WMI在渗透测试价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。...版本也可以直接使用别人写好脚本:https://github.com/n0pe-sled/WMI-Persistence/blob/master/WMI-Persistence.ps1 当然以下工具都具有该功能

    1.6K20

    WMI利用(权限维持)

    相关文章:WMI讲解(是什么,做什么,为什么) WMI利用(横向移动) 什么是WMI事件 WMI事件,即特定对象属性发生改变时发出通知,其中包括增加、修改、删除三种类型。...WMI事件事件消费者可以分为临时和永久两类,临时事件消费者只在其运行期间关心特定事件并进行处理,永久消费者作为类实例注册在WMI命名空间中,一直有效到它被注销。...$EventFilterArgs Name ###修改筛选器名称。 Query ###修改其中WQL语句,以下脚本可不用修改,但TimerID需和$TimerArgs参数匹配。...WQL语句,也可以指定WITHIN来指定间隔时间,以秒为单位,但是需提前指定TimerID,可以自行修改PS1脚本进行完善,将添加后门、删除后门操作集成到一个脚本内完成,同时免杀操作可以针对性进行混淆或编码操作...SELECT * FROM __TimerEvent WITHIN 10 WHERE TimerID = 'Trigger' 上线C2 注意:将上述Powershell脚本替换其执行Payload进行本地执行

    1.9K21

    使用Powershell 获取内网服务器信息和状态

    我们可能首先想到,也是使用不同Module不同命令,收集诸如 CPU,内存,磁盘,系统等不同信息,其实在Powershell,有两种方法去完成信息收集过程。 1....而 CIM 标准在 Windows 平台实现方法就是 WMI (Windows Management Instrumentation)。这也就是说通过 WMI,管理员可以获取系统不同组件信息。...在没有 Powershell 年代,使用 VBScript 编写脚本时获取系统信息时,WMI 是不二之选; 从 Windows Server 2008 到 Windows Server 2016 ,微软一直致力不断完善...,那个年代想在 Powershell 获取网卡信息,就得靠 Powershell 调用 WMI 类来完成了。...你可以在命令行运行 wmimgmt.msc 命令,打开WMI管理工具后,右键选择 WMI控制(本地)--属性,在 高级选项卡,选择更改后,就能查看如上截图 WMI 命名空间,最上层名称为 Root

    2.3K40

    通过逆向分析防御挖矿病毒「建议收藏」

    金山毒霸安全实验室写病毒分析 http://www.freebuf.com/column/149286.html 通过文章得知,病毒无落地文件,持久化在WMI属性,启动靠WMI事件侦听器。...着重说下和之前金山文章不同点。 1、挖矿程序清除了DOS MZ头,增加了-B参数用于在后台执行。 2、WMI远程执行已修复。 3、远程执行时不再释放y1.bat,现在已经直接修改为命令。...使用MS17-010 通过WMI远程执行需要目标机器登陆凭据,在病毒查找获取凭据代码。通过mimikaz获取明文密码和NTLM Hash。...(禁用后XP/2003无法使用共享,Win7开始使用SMBv2) WMI远程调用 1、组件服务控制台中禁用administrators远程权限 杜绝minikaz获取Windows明文密码(Windows...我自己在虚拟机测试时,直接在Powershell内执行启动挖矿脚本,火绒才弹出“隐蔽执行”提示框。将病毒上传至VirusTotal也能看到大部分杀毒软件无法查杀。

    1K20

    红队技巧-常规横向手法

    ,用于管理本地或远程Windows系统,攻击者使用wmi来进行攻击,但Windows系统默认不会再日志记录这些操作,可以做到无日志,攻击脚本无需写入到磁盘,增加了隐蔽性。...,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特WMI允许脚本语言(例如VBScript或Windows PowerShell)在本地和远程管理...)(组件对象模型)扩展,它允许应用程序实例化和访问远程计算机上COM对象属性方法,就像使用基于DCERPCDCOM协议在本地计算机上对象一样,有关每个COM(和DCOM)对象标识,实现和配置信息存储在注册表...在powershell我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示对象。...在大多数情况下,新过程是在与DCOM通信关联会话创建。 然后,客户端可以访问新创建对象成员和方法

    2.1K20

    WMI讲解(是什么,做什么,为什么)

    WMI讲解(是什么,做什么,为什么) 讲在前面 作者:pingpig@深蓝攻防实验室 WMI在笔者所参与项目中发现目前攻防利用依旧非常频繁,尤其在横向移动,利用wmic或者powershell...COM组件、Provider方法等专业名词可不做深度理解,只需要知道是WMI这个庞大工具零件罢了,此文不足之处,望读者海涵....这些WMI使用者,可以查询、枚举数据,也可以运行Provider方法,还有WMI事件通知。当然这些数据操作都是要有相应Provider来提供。...- 如果请求是一个静态数据,WMI将从WMI存储库查找数据并返回; - 如果请求是一个动态数据,比如一个托管对象的当前内存情况,WMI服务将请求传递给已经在WMI服务中注册相应WMI提供者。...命名空间为SecurityCenter 注意:这里Powershell操作WMI对象使用是内置模块Get-WmiObject,以及查询类为Win32_Service类,Win32_Service

    1.3K10
    领券