sysinternals의 자동 실행을 사용하여 'VMI' 탭에서 의심되는 행을 발견했습니다.
WMI 데이터베이스 항목 폴더에 Powerlog 항목이 있습니다.
오른쪽으로 클릭하고 "Jump to Entry"를 클릭했습니다.
그러면 내 notepad.exe가 열리면서 스크립트 내용이 표시됩니다. 그래서 슬프게도 여기에 아주 아주 나쁜 코드가 포함되어 있다는 사실을 발견했습니다.
자동 실행 유틸리티 내부에서 항목을 간단히 삭제할 수 있다는 것을 알고 있습니다.
하지만 저는 여러분께 묻고 싶습니다. - WMI 데이터베이스 항목이란 무엇입니까? - 해당 항목은 내 디스크나 레지스트리의 어디에 있습니까, 아니면 무엇입니까?
답변1
위키피디아에서https://en.wikipedia.org/wiki/Windows_Management_Instrumentation
"WMI(Windows Management Instrumentation)는 계측된 구성 요소가 정보와 알림을 제공하는 운영 체제 인터페이스를 제공하는 Windows 드라이버 모델에 대한 확장 세트로 구성됩니다. WMI는 Microsoft가 구현한 웹 기반 엔터프라이즈 관리(WBEM) 및 공통 정보입니다. DMTF(Distributed Management Task Force)의 모델(CIM) 표준. WMI는 VBScript 또는 Windows PowerShell과 같은 스크립팅 언어를 사용하여 Windows 2000 이상에 사전 설치되어 있는 Microsoft Windows 개인용 컴퓨터 및 서버를 관리합니다. Microsoft OS는 Windows NT, Windows 95 및 Windows 98용 다운로드로 제공됩니다. Microsoft는 WMIC(Windows Management Instrumentation Command-line)라는 WMI에 대한 명령줄 인터페이스도 제공합니다.
WMI에서 수집한 정보는 저장소라고 하는 시스템 파일 모음에 저장됩니다. 기본적으로 저장소 파일은 다음 위치에 저장됩니다.%SystemRoot%\System32\Wbem\Repository. 리포지토리는 WMI와 도움말 및 지원 서비스 프레임워크의 핵심입니다. 정보는 준비 파일을 사용하여 저장소를 통해 이동됩니다. 리포지토리 데이터나 준비 파일이 손상되면 WMI가 제대로 작동하지 않을 수 있습니다. 이 상태는 일반적으로 일시적이지만 위에서 언급한 대로 리포지토리 파일을 수동으로 백업하여 이를 방지할 수 있습니다."
아래 기사의 데이터는 오래되었지만WBEM테스트WMI를 검색하고 업데이트하는 데 가장 적합한 유틸리티입니다.
https://msdn.microsoft.com/en-us/library/ff647965.aspx
WMI Q&A:https://technet.microsoft.com/en-us/library/ee692772.aspx