遠程執行緒注入

在一個進程中，調用CreateThread或CreateRemoteThreadEx函式，在另一個進程內創建一個執行緒（因為不在同一個進程中，所以叫做遠程執行緒）。創建的執行緒一般為Windows API函式LoadLibrary，來載入一個動態程式庫(DLL)，從而達到在另一個進程中運行自己所希望運行的代碼的目的。

注入的動態程式庫，通常為惡意代碼，例如木馬或病毒。（當然，注入的也可以是善意代碼，例如調試器，也是利用遠程執行緒注入技術，來調試程式。）

通過遠程執行緒注入，來使得木馬運行在目標進程中，隨意訪問目標進程的記憶體空間，最後這個動態程式庫里的代碼就成為其他進程的一部分來實現了自身的隱藏執行，通過調用“hook”機制，監視用戶的輸入輸出操作，截取有用的資料等操作。這種木馬的實際執行體是一個dll檔案，由於Windows系統自身就包含著大量的dll檔案，誰也無法一眼看出哪個dll檔案不是系統自帶的，所以這種木馬的隱蔽性又提高了一級，而且它的執行方式也更加隱蔽，這是由Windows系統自身特性決定的，Windows自身就是大量使用dll的系統，許多dll檔案在啟動時便被相關的應用程式載入進記憶體里執行了，可是有誰在進程里直接看到過某個dll在運行的?因為系統是把dll視為一種模組性質的執行體來調用的，它內部只包含了一堆以函式形式輸出的模組，也就是說每個dll都需要由一個用到它的某個函式的exe來載入，當dll里的函式執行完畢後就會返回一個運行結果給調用它的exe，然後dll進程退出記憶體結束這次執行過程，這就是標準的dll運行周期，而採用了“執行緒注射”技術的dll則不是這樣，它們自身雖然也是導出函式，但是它們的代碼是具備執行邏輯的，這種模組就像一個普通exe，只是它不能直接由自身啟動，而是需要有一個特殊作用的程式(稱為載入者)產生的進程把這個dll的主體函式載入記憶體中執行，從而讓它成為一個運行中的木馬程式。

wmiprvse.exe是微軟Windows作業系統的一部分。用於通過WinMgmt.exe程式處理WMI操作。這個程式對計算機系統的正常運行是非常重要的。

檔案描述

進程檔案： wmiprvse or wmiprvse.exe

進程名稱： Microsoft Windows Management Instrumentation

出品者： Microsoft

屬於： Microsoft Windows Operating System

系統進程： 是

後台程式： 是

使用網路： 否

硬體相關： 否

常見錯誤： 未知N/A

記憶體使用： 未知N/A

安全等級 (0-5): 0

間諜軟體： 否

Adware: 否

病毒： 否

木馬： 否

Windows® Management Instrumentation (WMI) is a component of the Microsoft® Windows® operating system that provides management information and control in an enterprise environment. By using industry standards, managers can use WMI to query and set information on desktop systems, applications, networks, and other enterprise components. Developers can use WMI to create event monitoring applications that alert users when important incidents occur.

In earlier versions of Windows, providers were loaded in-process with the Windows Management service (WinMgmt.exe), running under the LocalSystem security account. Failure of a provider caused the entire WMI service to fail. The next request to WMI restarted the service.

Beginning with Windows XP, WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. Multiple instances of Wmiprvse.exe can run at the same time under different accounts: LocalSystem, NetworkService, or LocalService. The WMI core WinMgmt.exe is loaded into the shared Local Service host named Svchost.exe.

Note: wmiprvsw.exe is the Sasser worm!

Note: The wmiprvse.exe file is located in the C:\WINDOWS\System32\Wbem folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.

Virus with same name:

W32/Sonebot-B - sophos.c0m

ntsd殺不死的進程（分大小寫）:WMIPRVSE.EXE

檔案位置：

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\dllcache\wmiprvse.exe

以下是翻譯：

Windows管理規範(WMI) 是Microsoft Windows作業系統的組成部分，它提供管理信息和企業環境中的控制功能。通過使用業界標準, 管理者能使用WMI 詢問和設定關於桌面系統、套用、網路, 和其它企業組分的信息。開發者可以使用WMI 創建事件監測程式，在重要意外發生時警告用戶。

在Windows的更加早期的版本, （訊息）提供程式被載入在視窗管理服務(WinMgmt.exe)的進程中, 運行在LocalSystem 安全帳戶之下。（訊息）提供程式的崩潰導致整個WMI 服務崩潰。下一個對WMI 的請求重建服務。

從Windows XP開始, WMI 存在於一個共有的服務主程式以幾個其它服務下。為了在（訊息）提供程式崩潰時避免停止整個服務, （訊息）提供程式被裝載入一個被命名為Wmiprvse.exe的獨立宿主進程。Wmiprvse.exe 多個實例可能同時運行在不同的帳戶之下: LocalSystem 、NetworkService, 或LocalService 。WMI 核心WinMgmt.exe 被裝載入共享的名為Svchost.exe的Local Service（本地服務）。

注: wmiprvsw.exe 是Sasser 蠕蟲!

注: wmiprvse.exe 檔案尋找，正常的應該在C:\WINDOWS\System32\Wbem 資料夾。如果在其它檔案, wmiprvse.exe 就是病毒、spyware 、特洛伊木馬或蠕蟲! 使用任務管理器檢查這個項目。

注釋: wmiprvse.exe 是存放在 C:\Windows\System32 下的子目錄 - 正常是 C:\WINDOWS\System32\wbem\。已知的 Windows XP 檔案大小為 218,112 位元組 (占總出現比率 88% )，245,248 位元組，203,776 位元組，207,872 位元組，203,264 位元組，206,336 位元組，225,280 位元組，229,376 位元組，226,304 位元組。

如何禁止Wmiprvse.exe進程

1.在CMD中運行

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /v debugger /t reg_sz /d debugfile.exe /f

重新啟用Wmiprvse.exe 進程方法方法：

在CMD中運行

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f

2.解決方法：

wmiprvse.exe是一個系統服務的進程，你可以結束任務，進程自然消失。

禁用Windows Management Instrumentation Driver Extensions服務或者改為手動

具體：桌面-我的電腦-管理-服務和應用程式-服務 裡面有個Windows Management Instrumentation 右鍵—禁用就可以了.

個人用過後感覺第二種方法較好。

解除命令方法：同樣操作複製下邊的命[1][2][3]令貼上輸入，回車確定。即可、

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f