WMI(系統外掛程式)

WMI（Windows Management Instrumentation,Windows 管理規範）是一項核心的 Windows 管理技術；用戶可以使用 WMI 管理本地和遠程計算機。

Windows 2K/XP和Windows 98 都支持WMI；如果為NT 4.0和Windows 95加上了 Service Pack 4或更高版本，NT 4.0和Win95也支持WMI。因此，用WMI進行遠程管理時，並非一定要用Windows 2K/XP（當然，如果WMI腳本在一台沒有性能監視器的Win9x機器上運行，就不能在遠程Win9x系統上查詢Windows 2K/XP的性能監視器。

WMI

如前所述，WMI允許通過一個公共的接口訪問多種作業系統構成單元，因此不必分別對待各種底層接口或所謂的“提供者”。利用WMI可以高效地管理遠程和本地的計算機；與此相對，並非所有的Windows 2K/XP命令行工具都支持遠程運行。

WMI是WBEM模型的一種實現。WBEM即Web-Based Enterprise Management，或基於Web的企業管理，WBEM由DMTF（Distributed Management Task Force，分散式管理任務組）在許多廠商的幫助下創立，包括Compaq、Sun、Microsoft等。WBEM的目標是，為管理企業環境開發一個標準的接口集。WBEM模型最關鍵的部分是它的數據模型（或描述和定義對象的方式）、編碼規範（Encoding Specification），以及在客戶端和伺服器端之間傳輸數據的模式。

WBEM的數據模型是CIM（Common Information Model，公共信息模型）。CIM是一個用來命名計算機的物理和邏輯單元的標準的命名系統（或稱為命名模式），例如硬碟的邏輯分區、正在運行的套用的一個實例，或者一條電纜。

CIM是一個面向對象的模型，使用一組面向對象的術語進行描述。CIM包含類（Class)，類是被管理單元的模板。類的實例稱為對象（Object），對象代表著底層系統的一個具體單元。名稱空間（Namespace）是一個類的集合，每個名稱空間面向一個特定的管理領域。類包含屬性（Property）和方法（Method）。

CIM分三層。第一層是核心模型（Core Model），這一層包含的類定義對於所有管理領域來說都是共同的。第二層是公共模型（Common Model），這一層包含的類定義對於特定的管理領域來說是公共的，但與具體的作業系統和系統設計無關。第三層是擴展模型（Extension model），這一層包含的類定義與特定的作業系統或技術有關。

WMI是Microsoft擴展CIM 2.0得到的面向Win32系統的擴展模型。引用WMI類和屬性的形式是“擴展前綴_類名稱.屬性名稱”，例如Win32_ComputerSystem. Name，其中Win32是CIM模式cimv2名稱空間內WMI擴展類的前綴，ComputerSystem是類，Name是屬性。

編寫WMI腳本的很大一部分工作涉及到讀取和設定屬性值。當前，WMI提供的方法還很有限，但隨著時間的推移，相信WMI和CIM提供的方法都會越來越豐富。

利用WMI軟體開發包（SDK）可以方便地查看可用的CIM和Win32類。WMI SDK可以從MSDN下載。

WMI SDK要求作業系統必須是Windows 2K/XP或者NT 4.0 SP4或更高版本；儘管Win9x系統上可以安裝WMI支持軟體，但SDK不能在Win9x上運行。另外，為支持SDK的ActiveX控制項，SDK還要求有IE 5.0或更高版本。SDK對機器性能的最低要求是：Pentium處理器，32 Mb的RAM，40 Mb的磁碟空間，以及至少要有800 x 600、256色的顯示設備。對於運行Windows 2K/XP的機器來說，這些要求應該不會成為問題。CIMOM默認以服務的形式運行，但如果機器沒有網卡，CIMOM不能作為服務運行，不過此時可以作為一個套用運行，只需執行winmgmt.exe即可。winmgmt.exe在\%systemroot%\system32\wbem的WMI主目錄下。

SDK必須由管理員組的成員安裝。安裝過程很簡單，執行WMISdk.exe啟動嚮導，指定安裝的目標目錄（默認是\program files\wmi）。選擇要安裝的可選組件（默認安裝除了SNMP支持以外的所有組件），最後點擊Finish。安裝SDK不需要重新啟動。安裝完成後，“開始/程式”選單上會增加一個WMI SDK組。

點擊WMI SDK程式組的WMI CIM Studio。CIM Studio提示連線名稱空間，並顯示默認連線的名稱空間是root\cimv2，確認即可。如果你用Administrator身份登錄Windows，再次點擊確定以當前身份登錄；如果你用其他的身份登錄Windows，請改用Administrator登錄。

假設我們要在當前的機器上查找一個對象：C:驅動器。我們不知道C:驅動器在CIM或WMI中的具體名稱，瀏覽CIM Studio列出的數百個類又太麻煩，怎么辦呢？可以使用Find按鈕（左邊上方的望遠鏡，參見圖三）。圖二顯示了點擊Find按鈕後顯示的Search for Class對話框，在這裡輸入我們猜想C:驅動器的類名稱中應當包含的單詞，然後點擊Go!按鈕。由於我們正在尋找一個命名的磁碟分區，而且我們知道Windows把這種分區叫做logical disk或logical drive，因此這裡的搜尋關鍵字可以是logical。當然，搜尋關鍵字也可以是disk，但這時會有大量的搜尋結果出現。

圖二顯示了搜尋關鍵字logical得到的結果。選擇Win32_LogicalDisk並點擊OK，圖三的視窗出現（為什麼不選擇CIM_LogicalDisk？前面已經提到，WMI管理的所有對象都帶有Win32前綴。如果選擇CIM_LogicalDisk然後要求顯示出它的實例，不可能看到可用邏輯驅動器的任何具體信息，只能看到對應每一個可用邏輯驅動器的Win32_LogicalDisk條目）。現在，視窗的右邊顯示出Win32_logicalDisk類的屬性。可以看到，屬性的值都為空，這是因為我們正在查看的是一個類，而不是類的具體實例。要顯示出Win32_LogicalDisk類的實例，點擊右邊上面的Instances按鈕（右數第四）。

點擊Instances按鈕之後，視窗顯示出當前機器上所有邏輯驅動器的實例，包括網路邏輯驅動器。點擊設備ID為“C:”的實例，顯示出圖四的結果。右邊窗格包含了當前實例的屬性和方法，當前邏輯驅動器的名稱顯示在右邊窗格的上方。

利用腳本可以修改這些屬性或調用這些方法。如果對某個屬性的含義不太清楚，只需選擇Win32_LogialDisk類或Win32_LogicalDisk.DeviceID="C:"實例，再點擊Help按鈕。大多數對象的屬性和方法都有詳細的說明。

現在很多朋友仍然在使用管理員賬號密碼為空的系統，這樣就為黑客製造了可乘之機，其中系統自帶的WMI是最方便的入侵通道。WMI（Windows管理規範）作為一項Windows管理技術，方便用戶對計算機進行遠程管理。但是它的易用性也導致了系統的安全性大幅下降。讓用戶的電腦除了自己賬號密碼的保護外再沒有什麼安全保護措施。本期我們就向大家介紹“菜鳥”級的黑客都可以輕易利用的入侵通道——WMI（Windows管理規範）。

小知識：什麼是WMI？

WMI是一項核心的Windows管理技術，WMI作為一種規範和基礎結構，通過它可以訪問、配置、管理和監視幾乎所有的Windows資源，比如用戶可以在遠程計算機器上啟動一個進程；設定一個在特定日期和時間運行的進程；遠程啟動計算機；獲得本地或遠程計算機的已安裝程式列表；查詢本地或遠程計算機的Windows事件日誌等等。

本質善良的WMI

從WMI本來的功能看，它是為了讓計算機的管理更容易，同時方便管理員遠程作業系統而產生的，那么它又怎么會為“菜鳥”級的入侵者提供方便呢？

一般情況下，在本地計算機上執行的WMI操作也可以在遠程計算機上執行，只要用戶擁有該計算機的管理員許可權。如果用戶對遠程計算機擁有許可權並且遠程計算機支持遠程訪問，那么用戶就可以連線到該遠程計算機並執行擁有相應許可權的操作。

WMI能夠成為遠程控制下的一個合法通道，有了這個通道，入侵者不需要對自己進行偽裝，不必再為探測出對方賬號的密碼為空後，找不到連線對方系統的通道而發愁。只要進行簡單幾個步驟就可以輕易地入侵到別人的電腦中。下面，我們就來看看，到底該如何利用WMI通道。

WMI被利用為虎作倀

前面介紹了WMI的原理，下面我們實際了解下，如何通過WMI進行入侵。在網上，有很多利用WMI的小工具，這裡我們就以rots.vbs工具進行簡單的演示，看一個“菜鳥”黑客如何輕易地入侵。

1.掃描135連線埠

要尋找可以通過WMI入侵的遠程計算機，只要對135連線埠進行掃描就可以了。因為WMI服務默認打開的就是135連線埠。我們本次實例採用的是NTscan掃描工具，因為它不但可以對IPC$、SMB、WMI這些信息進行掃描，同時還可以對掃描到的遠程賬戶進行弱口令猜測，功能相對來說比較強大。

運行NTscan，在程式視窗的“配置”區域中進行設定。首先在“起始IP”和“結束”選項中輸入掃描的IP位址範圍，接著選擇“WMI掃描”選項，並且在“掃描打開連線埠的主機”選項後輸入“135”，最後點擊“開始”按鈕就開始進行掃描（如圖）。

2.開啟終端服務

找到可以入侵的遠程計算機以後，就可以開始入侵操作了。首先使用的工具是一個名為rots.vbs的腳本程式，通過它可以開啟遠程計算機的終端服務。腳本會自動判斷目標系統類型，如果不是Windows 2000 Server及以上版本的系統，腳本就會提示是否要取消操作。因為Windows 2000 Pro以下版本不能安裝終端服務。

然後是開啟終端服務。開啟工具的使用方法非常簡單，命令格式為：cscript rots.vbs <目標IP> <用戶名> <密碼> [服務連線埠] [自動重啟選項]

其中，[服務連線埠]和[自動重啟選項]為可選參數，默認情況下，程式開啟的終端服務連線埠為3389，如果用戶需要修改，在[服務連線埠]選項中填入你要的連線埠即可，而[自動重啟選項]選項則是在開啟終端服務以後重啟系統用的。

舉個例子：cscript.exerots.vbs 192.168.0.6 Administrator "" 4466 /r

上面這段實例的意思是開啟192.168.0.6這台遠程計算機的終端服務，並且將連線埠更改為4466，服務安裝完成後自動重啟。

屏閉135連線埠防禦入侵

從上面的介紹大家都可以看出，整個過程中使用的連線埠都是135。所以為了防止別人通過WMI進行入侵，我們可以使用防火牆對135連線埠進行禁止，這樣就可以達到防範類似的入侵。用戶加強自己的賬號密碼強度，也可以有效防範入侵。

關閉135連線埠的方法

我們使用到十六進制的編輯器，比如：WINHEX、UltraEdit等軟體。運行UltraEdit，通過工具列上的“打開文檔”按鈕找到系統SYSTEM32資料夾下的rpcss.dll。接著點擊“搜尋”選單中的“查找”命令，在彈出的視窗中查找“3100330035”這個字元串，找到後將它替換為“3000300030”，並另外儲存為其他的檔案目錄中，建議保存在C糟根目錄下。

重新啟動系統，用啟動盤啟動到DOS狀態下，進入C糟後運行：copyrpcss.dllc:\windows\system32\rpcss.dll，然後重新啟動計算機，就會發現135連線埠已經被關閉。

使用網路防火牆也可以通過連線埠限制的手段進行禁止135連線埠。我們以天網網路防火牆為例。打開天網防火牆界面，依次點擊“IP規則管理→增加規則”，然後在彈出的視窗界面中，在數據包方向中選擇“接收或者傳送”，在數據包類型中選擇“TCP”，最後在本地連線埠中輸入“135”，然後就是確定退出，最後保存規則即可。以後如果有數據從135連線埠進行傳輸，天網就會自動進行攔截。

世界廠商識別代號

申請WMI的企業應向工作機構提出申請，申請時應如實填寫《世界製造廠識別代號(WMI)申請表》，並提交相應的證明材料。