2

Используя автозапуск от sysinternals, я нашел подозрительную строку во вкладке «VMI»

В папке Записи базы данных WMI есть элемент Powerlog.

Я нажал справа и "Перейти к входу".

Это открыло мой notepad.exe, показывающий мне содержимое скрипта: поэтому я с сожалением обнаружил, что он содержит ОЧЕНЬ ОЧЕНЬ ОЧЕНЬ ПЛОХОЙ КОД.

Я знаю, что могу просто удалить запись из служебной программы Autoruns.

Но я здесь, чтобы спросить вас:- Что такое записи в базе данных WMI - Где они находятся на моем диске или в моем реестре, или как?

1 ответ1

1

Из Википедии https://en.wikipedia.org/wiki/Windows_Management_Instrumentation

«Инструментарий управления Windows (WMI)» состоит из набора расширений модели драйверов Windows, которые предоставляют интерфейс операционной системы, через который инструментированные компоненты предоставляют информацию и уведомления. WMI - это реализация Microsoft стандартов управления предприятием на основе веб-технологий (WBEM) и общей информационной модели (CIM), разработанных целевой группой распределенного управления (DMTF). WMI позволяет языкам сценариев (таким как VBScript или Windows PowerShell) управлять персональными компьютерами и серверами Microsoft Windows как локально, так и удаленно. WMI предустановлен в Windows 2000 и в более новых ОС Microsoft. Он доступен для загрузки для Windows NT, Windows 95 и Windows 98. Microsoft также предоставляет интерфейс командной строки для WMI, называемый Командная строка инструментария управления Windows (WMIC).

Информация, собранная WMI, хранится в коллекции системных файлов, которая называется хранилищем. По умолчанию файлы репозитория хранятся в папке% SystemRoot%\System32\Wbem\Repository. Хранилище является сердцем WMI и инфраструктуры служб справки и поддержки. Информация перемещается через хранилище с помощью промежуточного файла. Если данные хранилища или промежуточный файл повреждены, WMI может работать неправильно. Это условие обычно является временным, но вы можете защититься от него, сделав резервную копию файла репозитория вручную, как упоминалось выше. "

Данные в статье ниже устарели, но WBEMTest - лучшая утилита для просмотра и обновления WMI.

https://msdn.microsoft.com/en-us/library/ff647965.aspx

Вопросы и ответы WMI: https://technet.microsoft.com/en-us/library/ee692772.aspx

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .