wmiprvse.exe是微软windows操作系统的一部分。用于通过Winmgmt.exe程序处理wmi操作。这个程序对你系统的正常运行是非常重要的,WMI包括对象为储备库和CIM对象处理器,其中对象储备库是包含对象定义的数据库,对象管理器负责处理储备库中对象的收集和操作并从WMI提供程序收集信息。WMI提供程序在WMI和操作系统,应用程序以及其他系统的组件之间充当中介。例如注册表提供程序从注册表中提供信息,而SNMP提供程序则通过SNMP设备中提供数据和事件。提供程序提供关于其组件的信息,有可能提供一些方法,这些方法可以操作可设置的组件,属性,或者操作可能挺高想在组建中要发生更改的事件。
今天去我的一个学员家里做客,到他家的时候发现他在玩游戏,没想到突然眼前一黑,屏幕砰的一声,电脑进入重启状态,由于他近期在学黑客技术,制作脚本木马,所以他的电脑没有安装防火墙系统,以及杀毒软件。等电脑重启完毕之后,他准备马上进行宽带连接,而我阻止了他,因为我怕他中的是远程的木马,这个时候我让他直接打开了任务管理器,发现了在重装系统之前并没有出现的一个进程:wmiprvse.exe。
这个时候我就认定了,他应该是病毒,间谍软件木马或者蠕虫,按照提示找到了相关的路径,果然发现了一个存在的同名文件。这个时候电脑又一次重新加载,而他就再一次进入操作平台,这次他用搜索功能查找wmiprvse.exe过了一会儿,竟然说出了两个并存的文件,是两个不同文件夹下的两个同名文件。
![1B@~U1AD(`9NA{YVRBJ[]FY.png](https://www.weixianmanbu.com/zb_users/upload/2016/12/201612141481693078332721.png)
仔细观察,我发现前者的文件夹比正常情况下多了个“2”,再看两个文件夹的内容都差不多,但是总的大小却差了几兆,进一步看了两个文件夹的创建时间,发现时间上有没有什么问题。这个时候我又打开了任务管理器,发现真的存在于两个wmiprvse.exe进程名,一个是network sever用户组,另一个却是system。这个时候漏洞终于被发现了,因为位于windows\system的那个文件不符合微软官方上对于文件夹的说明,也就是说,那个文件是真正的病毒。
既然找到了他的所在地,那么就好办了。由于我想让他自己来操作这样能更加快速的提升她的操作技术,于是我就没有再对他进行任何的提示。先进入它的文件夹目录,在任务管理器上将其进程终止,便马上删除了他,这次没有马上关闭任务管理器,而是一直开着一直监控。最后功夫不负有心人,在三分钟之后,任务管理器又出现了这个进程,这时候他问我会不会是因为病毒就用了这个程序的文件名在原来的系统残留目录想进行了伪装覆盖。他终于靠着自己的努力找到了真正的原因。紧接着他找到了那个目录并把它进行了整体删除,并且到注册表内搜索到了相关键值,把他们都处理完毕。接下来再打开任务管理器,那个用户组的进程就再也没有出现过。
最后我也奉劝大家几句,最好不要盲目的迷信,下载一些破解版的国产软件,那些都会带一些木马流氓软件。也千万不要兴奋网上那种列表形式的病毒判断报告,就是告诉你是否是病毒,哪个厂家的文件进程,一项项的煞有介事的列出判断结果,那些都是网上粘贴过来的杜撰的判断,所以有一部分是错误的,会给我们的手动查杀带来负面的影响。
黑客术语小贴士:1.什么是弱口令
强度不够的容易被拆解的,例如123,ABC这种口令,当然除了这些以外,还有一些,例如口令为空,这是最致命的了,还有就是口令和用户名相同,这样的口令也非常容易被破解。2.网关
网关,Gateway,它的主要作用就是起到一个翻译的作用,例如我们最常见的情况就是将王冠放在一个局域网的出口位置,然后整个局域网的机器都依靠这个网关与外界通信。实际上局域网内数据格式和lnternet上的格式是不一样的,如何使这两种使用不同格式的网络进行沟通,这就是网关的工作。
3.什么是代理服务器
代理服务器的主要意义在于代理,也就是说无论是访问哪个wap站点?都不是,您直接去访问,而是要他带领你去访问,然后把房东的信息的返回给使用者。
4.什么叫做跳板
其实跳板和代理服务器很相似,一般来说,轻者会将自己工厂的主题做成一个代理服务器,这样入侵者就利用这台代理服务器继续去入侵其他的计算机。这时候中间的这个代理服务器就叫跳板了。