超级会员免费看
WMI 事件订阅是一种强大的功能,允许用户订阅系统事件,并在这些事件发生时执行预定义的操作。在Windows内网渗透阶段,攻击者可以创建一个 WMI 事件订阅来在系统启动后的特定时间点触发恶意二进制文件。这种方法隐蔽性较强,不易被传统的安全防护措施检测到。
0x01 什么是WMI事件
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。
WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。
1.1 __EventFilter 用于定义要监听的事件及其条件。这个类包含了 WMI 查询(通常 WMI Query Language),该WQL查询指定了事件订阅的触发条件。
1.2 CommandLineEventConsumer 用于在事件触发时执行命令行操作,定义了要执行的命令或程序。
1.3 FilterToConsumerBinding 用于将事件过滤器(EventFilter)和事件消费者
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
