是否可以通过powershell在WMI上设置审核进程监视器？

是的，可以通过PowerShell在WMI上设置审核进程监视器。

WMI（Windows Management Instrumentation）是一种用于管理和监控Windows操作系统的技术。它提供了一组API和工具，可以通过编程方式访问和控制Windows操作系统的各种功能和信息。

要在WMI上设置审核进程监视器，可以使用PowerShell中的Set-WmiInstance命令。该命令用于修改WMI实例的属性值。

以下是一个示例命令，用于在WMI上设置审核进程监视器：

Set-WmiInstance -Namespace "root\cimv2\Security\MicrosoftTpm" -Class Win32_ProcessAuditSetting -Arguments @{AuditProcessCreation=$true}

上述命令将在WMI的root\cimv2\Security\MicrosoftTpm命名空间下的Win32_ProcessAuditSetting类中设置AuditProcessCreation属性为$true，启用进程创建的审核。

WMI的审核进程监视器可以用于监控系统中的进程活动，包括进程的创建、终止和访问权限等。它可以帮助管理员检测和响应潜在的安全威胁。

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。这些产品可以帮助用户快速构建和部署云计算解决方案。具体推荐的腾讯云产品和产品介绍链接地址可以根据实际需求进行选择和提供。

相关·内容

技术分享-持久性-WMI事件订阅

PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...有一个 PowerShell 模块可以通过在特定时间执行基于 64 编码的有效负载，在目标主机上部署 WMI 事件订阅的持久性技术。...新植入物将在设置时连接回 C2 服务器。 Metasploit Metasploit 框架包含一个通过 WMI 在目标系统上执行持久性的模块。...auditpol /get /subcategory:Logon Empire PowerShell Empire 有两个模块可以在 WMI 上建立持久性。...“ wmi_updater ” 模块能够从远程位置获取有效负载，而不是将其存储在 WMI 存储库中。它将注册为“ AutoUpdater ”，并且可以在启动时或一天中的特定时间设置触发器。

2.8K1 0

WMI ——重写版

重点放在Permanent WMI Event Subscriptions上，永久的WMI 事件订阅存储在WMI repository，系统关键/重启之后任然存储着，并且，永久的WMI事件订阅是以System...适用Process Explorer监控发现calc.exe进程在启动之后，自动结束进程，目前稳定性尚未明确，如果使用来上线，做好进程迁移。...= 'C:\Windows\System32\calc.exe' #当然这个路径可以设置一个网络上的路径 $FileBytes = [IO.File]::ReadAllBytes($LocalFilePath...笔者的思路为：注册对应的WMI 永久事件订阅，来监控对应的事件，动作设置为写入日志或其他（列如通知）注：删除WMI 永久事件订阅本身也可以触发事件缓解措施禁用WMI服务：可以会影响依赖该服务的应用...\Metasploit.mof 编译 #如果你愿意阅读下生成的mof文件的代码，核心部分是通过Jscript调用wmi，扩展 Win32Provider，构造WMI 永久事件订阅 #考虑进程迁移这种方式父进程是

2.1K1 0

内网渗透基石篇——权限维持分析

通过这种方法，攻击者可以在系统中安装一个具有持久性的后门，且不会在系统中门外的任何文件。WMI 型后使用了 WMI 的两个特征，即无文件和无进程。...帝国下的Invoke-WMI模块可以实现这种后门的利用。 WMI型后门主要利用了WMI的两个特征，即无文件和无进程。...其基本原理为：将代码加密存储于WMI中，实现无文件；当设定的条件被满足时，系统将自动启动PowerShell进程去执行后门程序，执行后，进程将会消失，实现无进程。...3.验证环境进入目标机器上，验证wmi 在powershell中直接输入下面的命令结果中可以看到 CommandLineTemlate中的内容包含 powershell.exe Get-WMIObject...这些代码都运行在服务器上。攻击者会通过一段精心设计的代码，在服务器上进行一些危险的操做，以获去某些敏感的技术信息，或者通过渗透和提权来获得服务器的控制权。

1.4K2 0

初识(fileless malware)无文件非恶意软件

2）、WMI 提供有关本地或远程计算机状态的信息，并且可以用于配置安全设置，例如系统属性，用户组，调度进程或禁用错误日志记录 3）、WMI 的一个重要功能是能够使用 DCOM 或 WinRM 协议与远程计算机的...这使攻击者可以在远程计算机上远程操作 WMI 类，而无需事先在其上运行任何代码 0x02.2.2、使用 WMI 作为无文件非恶意软件的优点除了满足上面三点无文件非恶意软件流行的原因，使用 WMI 作为无文件非恶意软件还有如下优点...0x02.2.3、WMI 被用于无文件非恶意软件攻击的几个实例 1）、使用 Win32_Process 在本地或远程生成进程，等效于运行 psexec 的 wmi 2）、Wmi 事件权限维持 3）、著名无文件攻击病毒...在实际环境中，WMI 不仅仅可以用来收集信息、还可以利用 WMI 进行代码执行、横向移动和构建持久无文件后门程序等 0x02.3、.NET Framework 框架 0x02.3.1、.NET 简介...在 Word 和 Excel 中，可以通过创建和运行宏来自动执行常用任务。

1.2K1 0

权限维持分析及防御

防范：在远程登录服务器时连续按5次“shift”键，判断服务器是否被人侵拒绝使用sethc.exe或者在“控制面板”中关闭“启用粘滞键”选项 2、注册表注入后门在普通用户权限下可以将后门程序或脚本路径填写到启动项注册表中.../cymothoa -s 0 -p -y 安装成功后使用nc等工具连接设置的端口即可 6、WMI后门 WMI后门需要管理员权限，特征是无文件和无进程，将代码加密存储于...当设定的条件被满足时，系统将自动启动Powershell进程去执行后门程序，执行后进程将会消失，达到所谓的“无进程” Empire下有WMI相关的模块可以使用 usemodule powershell/...、修复、重建活动目录数据库，使域环境的运行恢复正常在域环境创建时，DSRM的密码需要在安装DC时设置，且很少会被重置因此可以使用ntdsutil工具同步krbtgt的NTLM Hash（即修改密码）...，可以通过注入SID History属性完成持久化任务拥有高权限SID的用户可以使用PowerShell远程导出域控制器的ntds.dll 如果不再需要通过SID History属性实现持久化，可以在

1K1 0

WMI讲解(是什么，做什么，为什么)

WMI Consumers(WMI使用者) 它位于WMI构架的最顶层，是WMI技术使用的载体。如果我们是C++程序员，我们可以通过COM技术直接与下层通信。...WMI服务扮演着WMi提供者、管理应用和WMI存储库之间的协调者角色。一般来说，它是通过一个共享的服务进程Svchost来实施工作的。当第一个管理应用向WMI命名空间发起连接时，WMI服务将会启动。...WMI做什么在Powershell未发布前用来管理Windows 2000、Windows95、Windows98、WindowsNT等操作系统，当然如今的所有Windows系统依旧可以使用...注意：在上图中我我们可以发现也可以理解，不论Powershell、VBScript或者其他什么语言，其本质还是使用.NET来访问WMI的类库，都是因为WMI向外暴露的一组API，然后进行管理，Powershell...的发布只是让我们管理的方式多了一种，本质上没有改变去使用WMI。

1.3K1 0

狩猎二进制重命名

通过检查已执行进程的二进制程序属性、对比预期外进程的名称与路径的方式可以发现这种威胁。...解决方案在没有完善的日志记录 / EDR 的情况下，WMI 事件可以为我们提供可见性。...ActiveScript 事件处理器可以通过功能强大的 Windows Scripting Host 为 WMI 事件触发器添加、丰富事件处理逻辑。...利用 Powershell 与本地 Windows API 可以显著优化性能，其他优化措施是将 CPU 优先级设置为仅空闲，并仔细设计逻辑有效过滤，以最小化占用资源。...Yara 检测与 Powershell 检测的代码可以在 Get-BinaryRename 找到。

1.3K2 0

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

文章目录[隐藏] 命名空间类列出类 2.2 获取类 2.3 删除类实例方法 3.1 列出方法 3.2 使用方法 4 设置对象属性 5 结论本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI...WMI 类表示系统中的特定项，它可以是从系统进程到硬件 (比如网卡)、服务等任何内容类分为 3 个主要类型 (这是 CIM 标准的要求)： Core classes (核心类)：适用于所有管理领域，并提供很少的基本功能...让我们将注意力转向系统上运行的进程，Win32_Process 类为我们提供了系统上运行的进程列表： Get-WmiObject -Class Win32_Process 许多进程在系统上运行，这可能会使终端上显示的内容无休止地滚动...可以将相关命令的输出通过管道传输到 cmdlet。为了快速演示，运行计算器应用程序并列出过程。如果我们通过管道将命令传递给 Remove-CimInstance 会发生什么？进程被杀死！...通过编写一些脚本，我们可以编写一个获取类的所有可写属性的方法。

1.6K2 1

WMI利用(横向移动)

2021 WMI利用（横向移动）谢公子学安全讲在前面作者：pingpig@深蓝攻防实验室上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。...本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章，希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。...，并选择Powershell作为载荷在客户机上执行wmic命令，让指定机器上线CS · XSL 如下为普通的xsl恶意文件，我们可以在下例中修改Run()中的Payload，本地运行恶意程序或者远程使用...Powershell亦或者其他下载命令等等，我们可以自行搭配。...使用CHANGE_USER后执行命令使用shell执行命令文件操作 WinRM 注意：Windows默认WinRM需要设置信任来源地址，在测试前，请设置信任所有来源地址，也就是允许被任意主机连接

2.8K1 0

WMI 攻击手法研究 – 基础篇 (第一部分)

正如你可能知道的那样，一项安全规则表明任何对管理有用的东西也很容易被不法分子滥用，WMI 确实可以做很多事情 —— 从收集计算机状态和配置设置到运行应用程序和执行代码。.../Consumers：基本上是与 WMI 类交互 (查询数据、运行方法等) 终端。...在下面的截图中，dll 文件都有相对应的 MOF 文件： Managed Objects：上下文中资源的别名，即托管对象可以是 WMI 管理的服务、进程或操作系统。...用 PowerShell 操作 WMI 现在我们已经完成了理论部分，让我们快速生成一个 PS 终端，请务必记住，在 PowerShell 的 v2 之前，只有少数 cmdlet 可以与 WMI 交互，检查...我们将重做上面所做的，但在将 Powershell 版本更改回默认版本后 (在示例中使用了 Powershell v5)： CIM cmdlet 可以做 WMI cmdlet 所能做的一切。

1.4K2 1

进攻性横向移动

命名管道：一种进程通过 SMB (TCP 445) 相互通信的方式。在 OSI 模型的第 5 层上运行。与端口监听连接的方式类似，命名管道也可以监听请求。...在 CS 中，您可以专门制作服务可执行文件： image.png 这是相同的攻击，但使用 Metasploit WMI Windows Management Instrumentation (WMI...\calc.exe” Cobalt Strike 利用 WMI 在目标上执行 Powershell 有效负载，因此 PowerShell.exe 将在使用 WMI 内置时打开，这是一个 OpSec 问题...image.png image.png 所以我们看到，即使通过 WMI，尽管 wmic.exe 能够通过 Powershell 在目标上运行命令，但仍会创建命名管道，那么为什么首先要创建命名管道呢...这可以通过 Powershell 中的命令完成，也可以通过 WMI 和 Powershell 远程完成：启用-PSRemoting -Force 从非 CS 的角度来看（用您的二进制文件替换 calc.exe

2.2K1 0

WMI使用学习笔记

WMI介绍 WMI的全名为"Windows Management Instrumentation"。从win98开始，Windows操作系统都支持WMI，WMI可以在本地或者远程管理计算机系统。...比如：重启，关机，关闭进程，创建进程等。具体可以参考：https://docs.microsoft.com/zh-cn/windows/win32/wmisdk/using-wmi 2....上已经出了结果，但是在win7上如何去查看呢？...powershell调用WMI来远程执行命令，并可以对命令结果回显。...Invoke-WMIMethod.ps1 Invoke-WMIMethod.ps1模块是powershell自带的，可以在远程系统中执行命令和指定程序。

2.2K3 0

红队技巧-常规横向手法

实操 1.ICP Ipc（共享命名管道），其作用是为了实现进程间通信而开放的命名管道。ipc可以通过用户名和密码建立ipc链接，获取相应的用户权限。...，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特WMI允许脚本语言（例如VBScript或Windows PowerShell）在本地和远程管理...我们可以利用一个非常著名的WMI类，Win32_Process，可通过利用来生成（远程）进程执行命令。...在客户端应用程序和服务器进程之间建立通信。在大多数情况下，新过程是在与DCOM通信关联的会话中创建的。然后，客户端可以访问新创建的对象的成员和方法。...通过使用冒号（:)符号将语句分隔在一行上，可以绕过此操作。 ? END

2.1K2 0

Powershell 挖矿病毒处理与防范

最近，一种利用Powershell的挖矿病毒在企业网络中频繁爆发，该病毒其利用了WMI+Powershell方式进行无文件攻击，并长驻内存进行挖矿。...0079nlvZly4g5y08a5rhxj30u00esmzx.jpg 某一天，当你检查服务器，发现很多服务器的CPU使用率特别高，且使用进程为Powershell.exe时，那么基本可以判定，您的服务器中了...中Powershell挖矿病毒后的现象当服务器感染了Powershell挖矿病毒后，通过交互式登录操作系统，利用ProcessExplorer.exe进程查看器进程，会发现Powershell.exe...，也可以通过手动方式进行清理。...详细步骤如下： 1.结束Powershell.exe进程由于服务器中了挖矿病毒后，整理反应会特别的慢，所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理（结束Powershell.exe

2.8K4 1

高能预警！警惕EnMiner挖矿大开杀戒

病毒分析攻击场景 EnMiner病毒攻击，可谓有备而来，在干掉异己、对抗分析上做足了功夫。 ? 如上图，lsass.eXe为挖矿病毒体（C：\Windows\temp目录下），负责挖矿功能。...Powershell脚本是base64加密的，存在于WMI中，有Main、Killer、StartMiner三个模块。...具体如下：首先，存在异常WMI项在定时启动PowerShell，根据WQL语句，为1小时自动触发一次。...判断是否存在lsass.eXe这个文件，如果不存在，会读取WMI中 root\cimv2:PowerShell_Command类中的EnMiner属性，并进行Base64解码写入lsass.eXe。...躺着挖矿进行了“七反五杀”操作的EnMiner挖矿再无竞争者，基本上是躺着挖矿了。此外，挖矿病毒体lsass.eXe可以从WMI里面通过Base64解码重新生成。

1.3K0 0

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

代表该用户执行的每个进程都有此访问令牌的副本。换句话说，它包含您的身份并说明您可以在系统上使用或不能使用的功能。...在CS中，您可以专门制作服务可执行文件： WMI Windows内置Windows Management Instrumentation（WMI），以允许通过WMI服务远程访问Windows组件。...\System32\calc.exe” Cobalt Strike利用WMI在目标上执行Powershell的payload，因此使用内置WMI时PowerShell.exe将打开，这是OpSec问题，...因此，我们看到即使通过WMI，尽管wmic.exe能够通过PowerShell在目标上运行命令，但仍创建了命名管道，那么为什么要首先创建命名管道呢？...这可以通过Powershell中的命令完成，也可以通过WMI和Powershell远程完成： Enable-PSRemoting -Force 从非CS的角度来看（用您的二进制文件替换calc.exe）

4.1K1 0

通过逆向分析防御挖矿病毒「建议收藏」

经过抓包分析后发现机器在访问很多公网IP的445端口，推测是有问题的。登录这台机器后开始详细排查进程，任务管理器上先查看CPU占用率最高的一个进程是Powershell，且命令行参数超长。...金山毒霸安全实验室写的病毒分析 http://www.freebuf.com/column/149286.html 通过文章得知，病毒无落地文件，持久化在WMI属性中，启动靠WMI事件侦听器。...使用WMI和MS17-010 2、如果能ping通9.9.9.9，随机攻击某些地址。使用MS17-010 通过WMI远程执行需要目标机器的登陆凭据，在病毒中查找获取凭据的代码。...因为很多管理员都习惯直接使用administrator用户，并将服务器设置成一个密码，所以我针对执行途径做了下测试，发现在全新安装的Windows Server 2008 R2服务器系统上，防火器打开状态是允许...所以在服务器区的传播是很广的。防御措施： MS17-010漏洞 1、可以打补丁的机器安装补丁。 2、不能安装的机器直接禁用SMBv1协议。

1K2 0

WinRM的横向移动详解

可以看到是开放的。但是5985端口走的是没加密的http服务，如果在实战中的话因为流量没有加密可能会不够隐蔽，注意手法吧，万一让检测到就gg了当然在cs中也可以探测端口是否开放; ?...如果远程用户不是目标系统上的本地管理员，则需要使用该选项 (默认设置将导致错误)。...而目标与已控机器之间的通信时加密的，蓝队在进行目标机器检测朔源的情况下，是先检测到wmi在执行恶意命令，但是没有发现wmi的横向情况，会不会想到是我们是通过winrm去远程调用wmi？...然后在域环境下的话，我们还是使用kerberos吧 ? 我们可以利用一个非常著名的WMI类，Win32_Process，可通过利用来生成（远程）进程执行命令。...注意：我们需要添加好路由或使用代理把MSF带入内网中如果已获取本地管理员凭据，则可以使用这些凭据通过WinRM服务与其他主机进行身份验证。以下模块可以确定本地管理员凭据是否对其他系统有效。

2.7K1 0

DevOpt：WMIC命令使用技巧

在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。...该组件默认集成于 Windows XP - Windows 10 全系列系统中，我们可以通过 WMI 实现数据的收集与管理，包括提供注册、请求传送、远程管理、安全管理、查询能力、和脚本编程能力等，其设计初衷之一是为了管理员能更加方便的对远程...135端口是否开启，如果上方可以正常访问，那我们就可以继续了，你也可以使用Python写一个脚本，来爆破目标主机的密码，替换上方的user,password字段内容。...首先你需要自行搭建一台服务器，然后放置后门文件shell.exe，然后通过在远程执行certutil命令完成下载后门，最后执行delete清理痕迹。...PowerShell脚本，接着我们通过调用 IEX DownloadString 函数来远程加载执行 powershell payload。

1131 0

再探勒索病毒之删除卷影副本的方法

系统提供者采用了写后复制（CoW）机制，因此快照只保存这些更改被保存在指定的“ diff area”存储位置，通常是在同一个卷上。但它们也可以保存在任何足够大的NTFS卷上。...通过WMI的Win32_ShadowCopy类和有用的PowerShellcmdlet来访问WMI对象，可以方便地实现这一点，从下面的例子中可以看出。 1....PowerShell的高级使用虽然我们还没有遇到任何使用这个的勒索软件，但可以使用CIM cmdlets来代替WMI的。...新的别名可以通过New-Alias cmdlet来创建，现有的别名可以通过Set-Alias cmdlet来修改。也可以在没有PowerShell.exe二进制的情况下运行PowerShell脚本。...调用COM对象 WMI可以通过COM来编程使用，而不是命令行工具或PowerShell，正如我们前面提到的，VSS架构本身就是基于COM的，所以可以直接使用更直接的方法来操作这些对象。

3.1K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云