使用 sysinternals 的自动运行,我在“VMI”选项卡中发现了一个可疑行
在 WMI Database Entries 文件夹中有一个 Powerlog 项。
我单击鼠标右键,然后选择“跳至条目”。
这打开了我的 notepad.exe 并显示脚本内容:所以我悲伤地发现它包含非常非常非常糟糕的代码。
我知道我可以简单地从 Autoruns 实用程序内部删除该条目。
但我在这里要问您: - 什么是 WMI 数据库条目 - 它们位于我的磁盘或注册表的什么位置,或者其他地方?
答案1
来自维基百科https://en.wikipedia.org/wiki/Windows_Management_Instrumentation
“Windows 管理规范 (WMI) 包含一组 Windows 驱动程序模型的扩展,它提供了一个操作系统接口,被检测的组件通过该接口提供信息和通知。WMI 是 Microsoft 对分布式管理任务组 (DMTF) 的基于 Web 的企业管理 (WBEM) 和通用信息模型 (CIM) 标准的实现。WMI 允许使用脚本语言(如 VBScript 或 Windows PowerShell)在本地和远程管理 Microsoft Windows 个人计算机和服务器。WMI 预装在 Windows 2000 和较新的 Microsoft 操作系统中。它可作为 Windows NT、Windows 95 和 Windows 98 的下载。Microsoft 还为 WMI 提供了一个命令行接口,称为 Windows 管理规范命令行 (WMIC)。
WMI 收集的信息存储在一组称为存储库的系统文件中。默认情况下,存储库文件存储在%SystemRoot%\System32\Wbem\Repository。存储库是 WMI 和帮助与支持服务框架的核心。信息通过使用暂存文件在存储库中移动。如果存储库数据或暂存文件损坏,WMI 可能无法正常运行。这种情况通常是暂时的,但您可以通过手动备份存储库文件来防止这种情况发生,如上所述。
以下文章中的数据已过时,但测试是我浏览和更新 WMI 的最佳实用程序。
https://msdn.microsoft.com/en-us/library/ff647965.aspx
WMI 问答:https://technet.microsoft.com/en-us/library/ee692772.aspx