WMI

{

\"code\": 200,

\"title\": \"\",

\"content\": \"WMI，是Windows2K\\/XP管理係統的核心；對於其他的Win32操作係統，WMI是一個有用的外掛。WMI以CIMOM為基礎，CIMOM即公共資訊模型對象管理器（CommonInformationModelObjectManager），是一個描述操作係統構成單元的對象數據庫，為MMC和腳本程式提供了一個訪問操作係統構成單元的公共介麵。有了WMI，工具軟件和腳本程式訪問操作係統的不同部分時不需要使用不同的API；相反，操作係統的不同部分都可以插入WMI，如圖所示，工具軟件和WMI可以方便地讀寫WMI。\\n\\nWMI（WindowsManagementInstrumentation,Windows管理規範）是一項核心的Windows管理技術；用戶可以使用WMI管理本地和遠程計算機。\\n\\n簡介?\\n\\nWindows2K\\/XP和Windows98都支援WMI；如果為NT4.0和Windows95加上了ServicePack4或更高版\\n\\nWMI\\n\\n本，N\\n\\nWMIT4.0和Win95也支援WMI。因此，用WMI進行遠程管理時，並非一定\\n\\n要用Windows2K\\/XP（當然，如果WMI腳本在一台冇有效能監視器的Win9x機器上運行，就不能在遠程Win9x係統上查詢Windows2K\\/XP的效能監視器。\\n\\n如前所述，WMI允許通過一個公共的介麵訪問多種操作係統構成單元，因此不必分彆對待各種底層介麵或所謂的“提供者”。利用WMI可以高效地管理遠程和本地的計算機；與此相對，並非所有的Windows2K\\/XP命令列工具都支援遠程運行。\\n\\nWMI是WBEM模型的一種實現。WBEM即Web-BasedEnterpriseManagement，或基於Web的企業管理，WBEM由DMTF（DistributedManagementTaskForce，分散式管理任務組）在許多廠商的幫助下創立，包括Compaq、Sun、Microsoft等。WBEM的目標是，為管理企業環境開發一個標準的介麵集。WBEM模型最關鍵的部分是它的數據模型（或描述和定義對象的方式）、編碼規範（EncodingSpecification），以及在客戶端和服務器端之間傳輸數據的模式。\\n\\nWBEM的數據模型是CIM（CommonInformationModel，公共資訊模型）。CIM是一個用來命名計算機的物理和邏輯單元的標準的命名係統（或稱為命名模式），例如硬盤的邏輯分區、正在運行的應用的一個實例，或者一條電纜。\\n\\nCIM是一個麵向對象的模型，使用一組麵向對象的術語進行描述。CIM包含類（Class)，類是被管理單元的模板。類的實例稱為對象（Object），對象代表著底層係統的一個具體單元。名稱空間（Namespace）是一個類的集合，每個名稱空間麵向一個特定的管理領域。類包含屬性（Property）和方法（Method）。\\n\\nCIM分三層。第一層是核心模型（CoreModel），這一層包含的類定義對於所有管理領域來說都是共同的。第二層是公共模型（CommonModel），這一層包含的類定義對於特定的管理領域來說是公共的，但與具體的操作係統和係統設計無關。第三層是擴展模型（Extensionmodel），這一層包含的類定義與特定的操作係統或技術有關。\\n\\nWMI是Microsoft擴展CIM2.0得到的麵向Win32係統的擴展模型。引用WMI類和屬性的形式是“擴展前綴_類名稱.屬性名稱”，例如Win32_ComputerSystem.Name，其中Win32是CIM模式cimv2名稱空間內WMI擴展類的前綴，ComputerSystem是類，Name是屬性。\\n\\n編寫WMI腳本的很大一部分工作涉及到讀取和設置屬性值。當前，WMI提供的方法還很有限，但隨著時間的推移，相信WMI和CIM提供的方法都會越來越豐富。\\n\\n操作方法?\\n\\n利用WMI軟件開發包（SDK）可以方便地檢視可用的CIM和Win32類。WMISDK可以從MSDN下載。\\n\\nWMISDK要求操作係統必須是Windows2K\\/XP或者NT4.0SP4或更高版本；儘管Win9x係統上可以安裝WMI支援軟件，但SDK不能在Win9x上運行。另外，為支援SDK的ActiveX控製元件，SDK還要求有IE5.0或更高版本。SDK對機器效能的最低要求是：Pentium處理器，32Mb的RAM，40Mb的磁盤空間，以及至少要有800x600、256色的顯示設備。對於運行Windows2K\\/XP的機器來說，這些要求應該不會成為問題。CIMOM默認以服務的形式運行，但如果機器冇有網卡，CIMOM不能作為服務運行，不過此時可以作為一個應用運行，隻需執行winmgmt.exe即可。winmgmt.exe在\\\\%systemroot%\\\\system32\\\\wbem的WMI主目錄下。\\n\\nSDK必須由管理員組的成員安裝。安裝過程很簡單，執行WMISdk.exe啟動嚮導，指定安裝的目標目錄（默認是\\\\programfiles\\\\wmi）。選擇要安裝的可選組件（默認安裝除了SNMP支援以外的所有組件），最後點擊Finish。安裝SDK不需要重新啟動。安裝完成後，“開始\\/程式”菜單上會增加一個WMISDK組。\\n\\n點擊WMISDK程式組的WMICIMStudio。CIMStudio提示連接名稱空間，並顯示默認連接的名稱空間是root\\\\cimv2，確認即可。如果你用Administrator身份登錄Windows，再次點擊確定以當前身份登錄；如果你用其他的身份登錄Windows，請改用Administrator登錄。\\n\\n現在，假設我們要在當前的機器上查詢一個對象：C:驅動器。我們不知道C:驅動器在CIM或WMI中的具體名稱，瀏覽CIMStudio列出的數百個類又太麻煩，怎麼辦呢？可以使用Find按鈕（左邊上方的望遠鏡，參見圖三）。圖二顯示了點擊Find按鈕後顯示的SearchforClass對話框，在這裡輸入我們猜想C:驅動器的類名稱中應當包含的單詞，然後點擊Go!按鈕。由於我們正在尋找一個命名的磁盤分區，而且我們知道Windows把這種分區叫做logicaldisk或logicaldrive，因此這裡的搜尋關鍵詞可以是logical。當然，搜尋關鍵詞也可以是disk，但這時會有大量的搜尋結果出現。\\n\\n圖二顯示了搜尋關鍵詞logical得到的結果。選擇Win32_LogicalDisk並點擊OK，圖三的視窗出現（為什麼不選擇CIM_LogicalDisk？前麵已經提到，WMI管理的所有對象都帶有Win32前綴。如果選擇CIM_LogicalDisk然後要求顯示出它的實例，不可能看到可用邏輯驅動器的任何具體資訊，隻能看到對應每一個可用邏輯驅動器的Win32_LogicalDisk條目）。現在，視窗的右邊顯示出Win32_logicalDisk類的屬性。可以看到，屬性的值都為空，這是因為我們正在檢視的是一個類，而不是類的具體實例。要顯示出Win32_LogicalDisk類的實例，點擊右邊上麵的Instances按鈕（右數第四）。\\n\\n點擊Instances按鈕之後，視窗顯示出當前機器上所有邏輯驅動器的實例，包括網絡邏輯驅動器。點擊設備ID為“C:”的實例，顯示出圖四的結果。右邊窗格包含了當前實例的屬性和方法，當前邏輯驅動器的名稱顯示在右邊窗格的上方。\\n\\n利用腳本可以修改這些屬性或調用這些方法。如果對某個屬性的含義不太清楚，隻需選擇Win32_LogialDisk類或Win32_LogicalDisk.DeviceID=\\\"C:\\\"實例，再點擊Help按鈕。大多數對象的屬性和方法都有詳細的說明。\\n\\nWMI功能?\\n\\n現在很多朋友仍然在使用管理員賬號密碼為空的係統，這樣就為黑客製造了可乘之機，其中係統自帶的WMI是最方便的入侵通道。WMI（Windows管理規範）作為一項Windows管理技術，方便用戶對計算機進行遠程管理。但是它的易用性也導致了係統的安全性大幅下降。讓用戶的電腦除了自己賬號密碼的保護外再冇有什麼安全保護措施。本期我們就向大家介紹“菜鳥”級的黑客都可以輕易利用的入侵通道——WMI（Windows管理規範）。\\n\\n小知識：什麼是WMI？\\n\\nWMI是一項核心的Windows管理技術，WMI作為一種規範和基礎結構，通過它可以訪問、配置、管理和監視幾乎所有的Windows資源，比如用戶可以在遠程計算機器上啟動一個進程；設定一個在特定日期和時間運行的進程；遠程啟動計算機；獲得本地或遠程計算機的已安裝程式列表；查詢本地或遠程計算機的Windows事件日誌等等。\\n\\n本質善良的WMI\\n\\n從WMI本來的功能看，它是為了讓計算機的管理更容易，同時方便管理員遠程操作係統而產生的，那麼它又怎麼會為“菜鳥”級的入侵者提供方便呢？\\n\\n一般情況下，在本地計算機上執行的WMI操作也可以在遠程計算機上執行，隻要用戶擁有該計算機的管理員權限。如果用戶對遠程計算機擁有權限並且遠程計算機支援遠程訪問，那麼用戶就可以連接到該遠程計算機並執行擁有相應權限的操作。\\n\\nWMI能夠成為遠程控製下的一個合法通道，有了這個通道，入侵者不需要對自己進行偽裝，不必再為探測出對方賬號的密碼為空後，找不到連接對方係統的通道而發愁。隻要進行簡單幾個步驟就可以輕易地入侵到彆人的電腦中。下麵，我們就來看看，到底該如何利用WMI通道。\\n\\nWMI被利用為虎作倀\\n\\n前麵介紹了WMI的原理，下麵我們實際瞭解下，如何通過WMI進行入侵。在網上，有很多利用WMI的小工具，這裡我們就以rots.vbs工具進行簡單的演示，看一個“菜鳥”黑客如何輕易地入侵。\\n\\n1.掃描135\\n\\n要尋找可以通過WMI入侵的遠程計算機，隻要對135進行掃描就可以了。因為WMI服務默認打開的就是135。我們本次實例采用的是NTscan掃描工具，因為它不但可以對IPC$、**B、WMI這些資訊進行掃描，同時還可以對掃描到的遠程賬戶進行弱口令猜測，功能相對來說比較強大。\\n\\n運行NTscan，在程式視窗的“配置”區域中進行設置。首先在“起始IP”和“結束”選項中輸入掃描的IP地址範圍，接著選擇“WMI掃描”選項，並且在“掃描打開的主機”選項後輸入“135”，最後點擊“開始”按鈕就開始進行掃描（如圖）。\\n\\n2.開啟終端服務\\n\\n找到可以入侵的遠程計算機以後，就可以開始入侵操作了。首先使用的工具是一個名為rots.vbs的腳本程式，通過它可以開啟遠程計算機的終端服務。腳本會自動判斷目標係統類型，如果不是Windows2000Server及以上版本的係統，腳本就會提示是否要取消操作。因為Windows2000Pro以下版本不能安裝終端服務。\\n\\n然後是開啟終端服務。開啟工具的使用方法非常簡單，命令格式為：cscriptrots.vbs[服務][自動重啟選項]\\n\\n其中，[服務]和[自動重啟選項]為可選參數，默認情況下，程式開啟的終端服務為3389，如果用戶需要修改，在[服務]選項中填入你要的即可，而[自動重啟選項]選項則是在開啟終端服務以後重啟係統用的。\\n\\n舉個例子：cscript.exerots.vbs192.168.0.6Administrator\\\"\\\"4466\\/r\\n\\n上麵這段實例的意思是開啟192.168.0.6這台遠程計算機的終端服務，並且將更改為4466，服務安裝完成後自動重啟。\\n\\n屏閉135防禦入侵\\n\\n從上麵的介紹大家都可以看出，整個過程中使用的都是135。所以為了防止彆人通過WMI進行入侵，我們可以使用防火牆對135進行遮蔽，這樣就可以達到防範類似的入侵。用戶加強自己的賬號密碼強度，也可以有效防範入侵。\\n\\n關閉135的方法\\n\\n我們使用到十六進製的編輯器，比如：WINHEX、UltraEdit等軟件。運行UltraEdit，通過工具欄上的“打開文檔”按鈕找到係統SYSTEM32檔案夾下的rpcss.dll。接著點擊“搜尋”菜單中的“查詢”命令，在彈出的視窗中查詢“3100330035”這個字串，找到後將它替換為“3000300030”，並另存為其他的檔案目錄中，建議儲存在C盤根目錄下。\\n\\n重新啟動係統，用啟動盤啟動到DOS狀態下，進入C盤後運行：copyrpcss.dllc:\\\\windows\\\\system32\\\\rpcss.dll，然後重新啟動計算機，就會發現135已經被關閉。\\n\\n使用網絡防火牆也可以通過限製的手段進行遮蔽135。我們以天網網絡防火牆為例。打開天網防火牆介麵，依次點擊“IP規則管理→增加規則”，然後在彈出的視窗介麵中，在數據包方向中選擇“接收或者發送”，在數據包類型中選擇“TCP”，最後在本地中輸入“135”，然後就是確定退出，最後儲存規則即可。以後如果有數據從135進行傳輸，天網就會自動進行攔截。\\n\\n世界製造廠識彆代號\\n\\nWorldManufacturerIdentifier\\n\\n申請WMI的企業應向工作機構提出申請，申請時應如實填寫《世界製造廠識彆代號(WMI)申請表》，並提交相應的證明材料。\\n\\n\"

}