WMI简介

WMI ( Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心，属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性，通过WM操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM)和Windows远程管理(WinRM)，用户可通过 WMI服务访问、配置、管理和监视 Windows所有资源的功能。对于其他的Win32操作系统来讲，WMI是一个非常不错的插件，同时也是测试人员在攻防实战中的一个完美的“无文件攻击”入口途径。

 WQL

WQL 也就是 WMI的 SQL。WQL的全称是 WMI Query Language( Windows 管理规范查询语言)，主要用于查询WMI的所有托管资源。它的语法与SQL相似，但只能执行数据的查询，不能对类或者实例执行创建、删除、修改等操作。

1. 基础语法

SELECT properties　[,properties]　 FROM 　class　 [where clause]
1)SELECT 代表 WQL 语句开始。
2)properties 代表要查询的属性名称。
3)FROM 指定包含 SELECT 语句中所列出属性的类,
4)class 代表要查询的类名称。
5)where clause为可选项，代表要过滤的信息，用来定义搜索范围。

查询用例

1)在CMD命令行中执行 wbemtest 命令进入 WMI测试器中，如图所示

2)在使用之前我们发现需要进行连接，选择默认连接选项即可、如图所示。

3)连接默认的命名空间后可以看到如图所示的内容。

4)通过单击“查询”模块、可执行 WQL语句查询，如图所示。

5)在此输入要执行的 WOL 语句。
SELECT * FROM WIN32_Process where Name Like "%cmd%"

7)执行以下命令，从任务管理器中查看，如图所示

tasklist 　//打开任务管理器

8)除了WIN32＿Process属性之外，还有很多属性。如需查询更多的WMI属性，可使用PowerShell 中的命令。PowerShell是 Windows 下功能强大的脚本语言，包含丰富的与 WMI进行交互的功能。

9)通过PowerShell与WMI进行更多的交互，如图
powershell //切换到Powershell

10)若要通过PowerShell查看当前系统中的所有属性，可以执行如下命令，执行结果如图所示。
 get-wmiobject -list　//查看当前系统中的所有属性

 

WMI Cient