如何获取使用WMI创建的进程的源和目标PID？

WMI（Windows Management Instrumentation）是一种用于管理和监控Windows操作系统的技术。通过WMI，可以获取和操作各种系统信息，包括进程信息。

要获取使用WMI创建的进程的源和目标PID，可以按照以下步骤进行：

首先，需要使用WMI查询语言（WQL）编写一个查询，以获取进程信息。可以使用Win32_Process类来查询进程信息。
在查询中，可以使用CreationEvent属性来获取进程的创建事件。该属性包含了进程的创建时间、源PID和目标PID等信息。
在查询结果中，可以通过遍历每个进程的源PID和目标PID，来获取所需的信息。

以下是一个示例的WQL查询语句，用于获取使用WMI创建的进程的源和目标PID：

SELECT * FROM Win32_Process WHERE CreationEvent IS NOT NULL

在这个查询中，我们使用了Win32_Process类，并且筛选了具有非空CreationEvent属性的进程。

对于获取到的进程信息，可以通过解析CreationEvent属性来获取源PID和目标PID。具体的解析方法可以根据编程语言和使用的WMI库进行调整。

需要注意的是，WMI是Windows特有的技术，因此在其他操作系统上可能无法使用。此外，WMI的使用也需要相应的权限和访问控制。

关于腾讯云相关产品和产品介绍链接地址，由于要求不能提及具体品牌商，建议您参考腾讯云的官方文档和相关资源，以获取更多关于WMI和云计算的信息。

相关·内容

CMD魔法堂：获取进程路径和PID值的方法集

所以第一步需要获取Weblogic应用窗口的PID然后将其kill掉。下面将记录曾经的各种尝试，以便日后查阅。...二、wmic命令　　　　　　　　　　　　　　　　　　　　　　　　　　　　 windows自带功能，功能十分强大示例1——获取所有进程信息： wmic process 示例2——指定进程执行路径获取PID...实践经验上述方法无法通过Weblogic应用的startWebLogic.cmd的全路径作为查询条件来获取PID，由于startWebLogic.cmd内是通过java命令启动应用的，所以ExecutablePath...其他获取进程路径的方法 vbs c++：java需要通过jni来调用。...三、netstat -aon | findstr 端口号　　　　　　　　　　　　　　　　示例1： netstat -aon | findstr 7001 若存在占用该端口号的进程，则会返回PID；否则返回空

1.8K7 2

VB中使用WMI获取系统硬件和软件有关信息的操作方法

实例如下:用WMI,先工程-引用 Microsoft WMI Scripting V1.1 Library获取显卡/声卡/内存/操作系统的信息声卡信息Private Sub wmiSoundDeviceInfo...impersonationLevel=impersonate}).InstancesOf(Win32_OperatingSystem)For Each obj In wmiObjSetMsgBox 你当前使用的系统是...＆ obj.CaptionNextEnd Sub说明:大家可能会发现一个规律,实际上WMI对信息的提取都是使用了WIN32_类库名这样的规律,下列表格就是微软的操作系统各种硬件类的描述

8960 0

使用 nice、cpulimit 和cgroups 获取进程的 CPU 使用率

使用 Linux's 内置的 control groups, control groups是一种告诉调度器去限制进程能获取的资源数量的机制。下面我们来看一下这些方法如何工作，还有它们的优缺点。...在我的测试系统上，剩余的CPU时间是空闲的。你还可以使用 ‘-p’ 参数，提供进程的PID，来限制一个正在运行的进程。例如： ?...cpulimit -l 50 -p 1234 这里，1234是进程的PID。 cgroups控制组(cgroups)是一个Linux内核特性，它允许你指定内核应该如何给一个进程组分配特定的资源。...为了演示cgroups，我们将创建两个拥有不同CPU资源分配的组，分别叫做‘cpulimited’和‘lesscpulimited’；用cgcreate创建组的命令如下： ?...在服务器上安装了监控agent后， Scout 会自动跟踪CPU和内存使用的轨迹。你还可以创建触发器，当进程超过指定的CPU和内存使用率上限的时候提醒你。免费注册Scout，试一下CPU进程监控。

2.8K4 0

如何使用jsFinder快速全面地获取目标应用的JavaScript文件

关于jsFinder jsFinder是一款针对JavaScript文件的数据收集工具，该工具基于Go语言开发，是一个命令行工具，在该工具的帮助下，广大研究人员可以快速扫描目标网页以查找HTML源代码中链接的...该工具支持搜索任何可以包含JavaScript文件的属性，例如src、href和data-main等，并将文件的URL提取到文本文件中。...该工具易于使用，并且支持从文件或标准输入中读取目标URL地址。于想要查找和分析web应用程序使用的JavaScript文件的web开发人员和安全专业人员非常有用。...功能介绍 1、使用命令行参数从文件或stdin读取URL； 2、对每个URL同时运行多个HTTP GET请求； 3、使用命令参数限制HTTP GET请求的并发性； 4、使用正则表达式在HTTP GET...接下来，运行下列命令即可获取该项目最新版本的源代码： go install -v github.com/kacakb/jsfinder@latest 工具使用广大研究人员可以使用-h命令查看工具的帮助信息

5684 0

.NETC# 如何获取当前进程的 CPU 和内存占用？如何获取全局 CPU 和内存占用？

都知道可以在任务管理器中查看进程的 CPU 和内存占用，那么如何通过 .NET 编写代码的方式来获取到 CPU 和内存占用呢？...---- 获取全局 CPU 和内存占用要获取到全系统中的 CPU 占用率，获取全系统中内存占用，需要首先分别创建这两者的性能计数器： 1 2 3 4 // 创建对 CPU 占用百分比的性能计数器。...获取当前进程的 CPU 和内存占用在了解的 PerformanceCounter 各个参数代表的含义之后，我们还可以获取到单个进程的性能计数。...这里，我们在计算单个进程的内存占用时，使用的是工作集大小，这个值会比较接近我们平时使用任务管理器看到的物理内存占用的大小，但是我们还有其他可以查询的类别： Private Bytes 包含进程向系统中申请的私有内存大小...Virtual Bytes 进程在地址空间中已经使用到的所有的地址空间总大小。

4.9K5 0

什么是线程和进程？是如何创建、同步、通信、销毁的？

条件变量通常结合互斥锁一起使用，在等待条件时会释放互斥锁，以便其他线程也可以获取到互斥锁。在 Java 中，可以使用 wait 和 notify 方法来实现条件变量。...共享队列共享队列是一种消息传递的方式，多个线程可以通过一个公共的队列来发送和接收消息。在使用共享队列时，需要使用互斥锁和条件变量来保证数据的一致性。...创建进程Java 中可以使用 java.lang.ProcessBuilder 类来创建和控制进程。...通过读取进程的输入流，可以获取命令执行后的输出结果。调用 waitFor 方法可以等待进程执行完毕并获取进程的退出码。进程同步进程同步是指在多个进程之间协调执行的机制。...以管道为例，可以使用 PipedInputStream 和 PipedOutputStream 来实现两个进程之间的通信。进程通信进程通信是指在多个进程之间传递信息或者数据的机制。

4410 0

Windows提权

书是比较老了，anyway，还是本很好的书本篇是第10章Windows提权，主要是做一个进程监视器，然后拦截高权限进程并插入脚本 1、进程监视器利用WMI的API可以监控系统事件 Windows的一些令牌权限...SeBackupPrivilege：使得用户进程可以备份文件和目录，读取任何文件而无需关注访问控制列表（ACL） SeDebugPrivilege：使得用户进程可以调试其他进程 SeLoadDriver...import sys import os def get_process_privileges(pid): try: # 通过pid获取目标进程句柄 hproc...log_to_file("Time,User,Executable,CommandLine,PID,Parent PID,Privileges") # 初始化WMI接口 c = wmi.WMI()...) except: pass 2、赢得竞争运行上面的监视器，可能看到类似下面这种记录 cscript.exe以SYSTEM权限运行为了能利用权限，必须在和目标程序执行脚本的竞争中占先

1.1K2 0

WMI使用学习笔记

比如：重启，关机，关闭进程，创建进程等。具体可以参考：https://docs.microsoft.com/zh-cn/windows/win32/wmisdk/using-wmi 2....#根据命令创建进程 wmic process where name="qq.exe" delete #根据进程名称删除进程 wmic process where pid...where name ="xshell.exe" call terminate ntsd -c q -p 进程的PID taskkill -im pid ### ###获取电脑产品编号和型号信息 wmic...SMBv2.1 dialect used，这个的原因主要是该工具的使用条件是需要 445、135 和高位随机的一个端口都允许通信。...使用方法与wmiexec.py一模一样： 5.2.1 有账号密码如果有账号和密码的情况下，在win7上操作winserver08： wmiexec.exe 用户名:密码@目标IP wmiexec.exe

2.2K3 0

WMI利用(横向移动)

2021 WMI利用（横向移动）谢公子学安全讲在前面作者：pingpig@深蓝攻防实验室上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。...在横向移动中的固定过程中一定离不开“信息收集”，然后分析信息根据实际场景（工作组或者域）来进行横向移动，至于使用什么工具，为什么使用这个工具，笔者使用WMI的意见。...注意：wmic命令需要本地管理员或域管理员才可以进行正常使用，普通权限用户若想要使用wmi，可以修改普通用户的ACL，不过修改用户的ACL也需要管理员权限，这里笔者单独罗列小结：普通用户使用wmic。...where name ="xshell.exe" call terminate ntsd -c q -p 进程的PID taskkill -im pid ### ###获取电脑产品编号和型号信息 wmic...，无论您作何考虑，都需要利用到工具来进行操作，工具可以帮助您无需理解或多或少的知识，您只需读懂README即可，来帮助您获取shell，上传，下载，创建服务等操作，笔者会在此段中罗列部分WMI的工具以及部分命令用作横向移动

2.8K1 0

如何获取目标基因的转录因子（上）——Biomart下载基因和motif位置信息

科研过程中我们经常会使用Ensembl（http://asia.ensembl.org/index.html）网站来获取物种的参考基因组，其中BioMart工具可以获取物种的基因注释信息，以及跨数据库的...在参考基因组和基因注释文件一文中有详细介绍如何在Ensembel数据库中获取参考基因组和基因注释文件。（点击蓝字即可阅读）生信分析中，想要找到感兴趣基因的转录因子结合位点，该怎么做呢？ 1....bed格式文件提供了一种灵活的方式来定义数据行，以此描述基因注释的信息。BED行有3个必须的列和9个可选的列。每行的数据格式要求一致。...使用下拉框-CHOOSE DATASET- 选择数据库，我们选则Ensembl Genes 93；这时出现新的下拉框-CHOOSE DATASET- ，选择目的物种，以Human gene GRCh38...将上述下载的两个文件分别命名为 GRCh38.gene.bed和 GRCh38.TFmotif_binding.bed ，在Shell中查看一下：基因组中每个基因所在的染色体、位置和链的信息，以及对应的

8.5K4 0

如何使用LEAKEY轻松检测和验证目标服务泄露的敏感凭证

关于LEAKEY LEAKEY是一款功能强大的Bash脚本，该脚本能够检测和验证目标服务中意外泄露的敏感凭证，以帮助广大研究人员检测目标服务的数据安全状况。...LEAKEY主要针对的是渗透测试和红队活动中涉及到的API令牌和密钥，对于漏洞Hunter来说，该工具也同样可以提供有效的帮助。...LEAKEY使用了一个基于JSON的签名文件，文件路径为“~/.leakey/signatures.json”。...LEAKEY可以通过这个签名文件来加载新的服务或检测列表，如果你想要添加更多的检测目标或服务，可以直接将其追加到signatures.json文件中即可。...LEAKEY支持的所有检测都在签名文件signatures.json中定义了，如需添加新的检测目标或服务，可以直接按照下列数据格式在签名文件signatures.json中追加新的目标： {

1011 0

浅析Windows Access Token以及利用方法

每个用户登录计算机都会产生一个AcessToken以用于创建进程和线程，用户注销以后会将主令牌切换成模拟令牌，也就是授权令牌和模拟令牌，不会清除令牌，只有重启才会。...(利用net use访问共享文件夹，或者wmi、winrm等等）注：都是在登录时产生创建的，两种token只在系统重启后清除，具有Delegation token的用户在注销后，该Token将变成Impersonation...ID 用户所属主组群安全ID 默认的自由访问控制列表源访问令牌表明此令牌是源令牌还是模拟令牌可选的链表，表明此令牌限制哪些SID 当前模拟令牌的级别其他数据资料 2 进程的身份标识：Luid与SID...:%d\n", processID(procname));else printf("Get ProcHandle fail：%d\n", erroint); 获取到目标进程的token int ret...如何得到它的token：直接窃取TrustedInstaller.exe的token，起一个进程就可以得到一个trustedInstaller权限的进程。前提是需要system权限。 3.

1.2K2 0

如何使用PyMeta搜索和提取目标域名相关的元数据

关于PyMeta PyMeta是一款针对目标域名元数据的信息收集工具，该工具基于Python 3开发，是PowerMeta（基于PowerShell开发）的Python 3重构版本，在该工具的帮助下...，广大研究人员可以将目标域名相关的网页元数据（文件等）提取到本地，这种技术可以有助于我们识别目标域名、用户名、软件/版本和命名约定等。...该工具使用了专门设计的搜索查询方式，并使用了Google和Bing实现数据爬取，并能从给定的域中识别和下载以下文件类型：pdf、xls、xlsx、csv、doc、docx、ppt、pptx。...代理请求 (IP:Port) --proxy-file PROXY 从文件加载代理 Output Options: -o DWNLD_DIR 创建下载目录路径...-dir FILE_DIR 设置结果文件目录（向右滑动，查看更多）工具使用使用Google和Bing搜索example.com域名中的所有文件，并提取元数据，然后将结果存储至

2192 0

如何确保Python Queue的线程和进程安全性：使用锁的技巧

虽然Python的Queue提供了基本的线程和进程安全性，但在某些场景下，如实现“只读”模式或防止数据竞争，还需要额外使用锁（Lock）来确保数据的完整性。...本文将探讨如何在Python中使用锁来保障Queue的线程和进程安全性，并通过一个使用代理IP、user-agent、cookie、多线程技术的实际爬虫示例，展示如何提高数据采集效率。正文1....下面的代码展示了如何使用锁来确保Queue的线程和进程安全性。3....本文将使用爬虫代理服务来设置代理IP，并展示如何在多线程环境下实现高效的数据采集。...本文通过一个使用锁的多线程爬虫示例，展示了如何在网络数据采集中使用代理IP、user-agent和cookie，并结合锁机制实现对Queue的安全操作。

911 0

如何使用Phant0m在红队活动中关闭Windows事件日志工具

将多个服务组合到一个进程中可以节省计算资源，这一点对于NT设计人员来说尤为重要，因为创建Windows进程比其他操作系统（例如Unix系统）需要更多的时间，而且还会消耗更多的内存。...使用了两种技术来检测和终止事件日志服务的线程。...因此，在这种技术中，Phant0m将使用NtQueryInformationThread API检测事件日志服务的线程，以获取线程的TEB地址，并从TEB读取子进程标记。...比如说，如果希望通过SCM检测进程ID，则应按照下列样例进行编辑（一次只能使用一种技术，不可同时使用两种）： // PID检测和配置 #define PID_FROM_SCM 1 // 如果设置为1，...将通过SCM获取事件日志服务的PID #define PID_FROM_WMI 0 // 如果设置为1，将通过WMI获取事件日志服务的PID 或者，如果你想终止线程，可以参照下列配置方式（一次只能使用一种技术

9893 0

渗透测试神器CobaltStrike使用教程

CobaltStrike官网:https://www.cobaltstrike.com 环境：Java 设备：Windows或Linux均可（推荐服务端使用Linux服务器）目录文件和功能介绍： ...agscript：扩展应用的脚本 c2lint：该文件主要检查profile的错误和异常 teamserver：服务端启动程序 cobaltstrike.jar：CobaltStrike...复制 2.创建监听器。打开监听器→Add→添加一个监听器。 3.生成后门文件，并将生成的后门文件在对应客户端运行即可上线。...任务设置父PID ps 显示进程列表 psexec 使用服务在主机上生成会话 psexec_psh...使用mimikatz转储明文凭据 winrm 使用WinRM在主机上生成会话 wmi 使用WMI在主机上生成会话

3.9K2 0

如何使用Tokenvator和Windows Tokens实现提权

Steal_Token 从最基本的功能来说，Tokenvator可以用来访问并修改Windows认证令牌，为了获取到特定进程的令牌，我们需要结合目标进程的PID来运行Steal_Token命令。 ?...List_Privileges和Set_Privilege 有的时候，我们的进程不一定拥有所要完成任务必备的权限。...查找用户进程首先，我们需要查看系统注册的会话信息： ? 下面是List_Processes命令所实现的东西，即获取用户进程的概览： ?...List_Processes利用的是主机的原生API，在列举进程和用户方面速度非常快。...很明显，它的功能是通过WMI实现的，所以它的速度肯定没有List_Processes快，但是它可以在非提权场景下正常运行。 ? 我们还可以直接列举出特定用户场景下所有运行的进程信息： ?

9580 0

WinRM的横向移动详解

-a[llow]d[elegate] - 指定可以将用户凭据用于访问远程共享，例如，不是目标终结点所在的计算机上创建的远程共享。...wmi之前我们分析过它横向利用手法。那么winrm（.vbs）可以调用wmi不就是：通过已控机器与目标进行winrm通信，然后调用目标主机的wmi执行命令。...而目标与已控机器之间的通信时加密的，蓝队在进行目标机器检测朔源的情况下，是先检测到wmi在执行恶意命令，但是没有发现wmi的横向情况，会不会想到是我们是通过winrm去远程调用wmi？...然后在域环境下的话，我们还是使用kerberos吧 ? 我们可以利用一个非常著名的WMI类，Win32_Process，可通过利用来生成（远程）进程执行命令。...流程标识符（PID）和返回值在事件XML元数据中返回，以确认成功执行远程操作 ok 我们来看看一个目标上面的一个情况 svchost.exe (DcomLaunch) -> wmiprvse.exe

2.7K1 0

内网渗透基石篇——权限维持分析

简单地说，后门就是一个留在目标主机上的软件，它可以使攻击者随时与目标主机进行连接。在大多数连接下，后门是一个运行在目标主机上的隐藏进程。...\Persistence.psm1 如下命令，使用计划任务的方式创建后门。...通过这种方法，攻击者可以在系统中安装一个具有持久性的后门，且不会在系统中门外的任何文件。WMI 型后使用了 WMI 的两个特征，即无文件和无进程。...帝国下的Invoke-WMI模块可以实现这种后门的利用。 WMI型后门主要利用了WMI的两个特征，即无文件和无进程。...可以使用Empire的Invoke-WMI模块，该模块允许完后，WMI后门就已经存在于目标主机，目标主机重启，后门即会触发。

1.4K2 0

如何使用CSS创建具有左对齐和右对齐链接的导航栏？

使用 CSS，我们可以轻松创建导航栏，即菜单。此外，链接可以左对齐或右对齐。我们将使用 flex 来实现相同的目的。让我们看看如何。使用创建导航栏元素用于在网页上创建导航栏。...-- set the div for links -->导航栏，弯曲和位置固定显示屏设置为弯曲。...使用position属性的固定值固定位置：nav { display: flex; position: fixed; top:0; width: 100%; background-color..." href="#">More Info链接与 Flex 向左对齐使用 flex 属性，将 Home、Login 和 Register 链接设置在左侧。...左侧柔性项的初始长度设置为 200px：.left-links{ flex:1 1 200px;}以下是创建具有左对齐和右对齐链接的导航栏的代码： <!

2771 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云