使用 sysinternals 中的自動運行,我在「VMI」標籤中發現了可疑行
WMI 資料庫條目資料夾中有一個 Powerlog 項目。
我單擊右鍵,然後“跳到條目”。
這打開了我的 notepad.exe,向我顯示了腳本內容:所以我很遺憾地發現它包含非常非常非常糟糕的程式碼。
我知道我可以簡單地從 Autoruns 實用程式中刪除該條目。
但我在這裡問您: - 什麼是 WMI 資料庫條目 - 它們位於我的磁碟或註冊表或其他什麼位置?
答案1
來自維基百科https://en.wikipedia.org/wiki/Windows_Management_Instrumentation
「Windows Management Instrumentation (WMI) 包含Windows 驅動程式模型的一組擴展,它提供了一個作業系統接口,透過該接口,儀表組件可以提供資訊和通知。WMI 是Microsoft 對基於Web 的企業管理(WBEM) 和通用資訊的實作分散式管理任務群組 (DMTF) 的模型 (CIM) 標準允許腳本語言(例如 VBScript 或 Windows PowerShell)來管理 Microsoft Windows 個人電腦和伺服器,WMI 預先安裝在 Windows 2000 和更高版本中。作業系統。
WMI 收集的資訊儲存在稱為儲存庫的系統檔案集合中。預設情況下,儲存庫檔案儲存在%SystemRoot%\System32\Wbem\儲存庫。此儲存庫是 WMI 和幫助和支援服務框架的核心。使用暫存檔案在儲存庫中移動資訊。如果儲存庫資料或暫存檔案損壞,WMI 可能無法正常運作。這種情況通常是暫時的,但您可以透過手動備份儲存庫檔案來防範這種情況,如上所述。
下面文章中的數據已過時,但WBEM測試是我瀏覽和更新 WMI 的最佳實用程式。
https://msdn.microsoft.com/en-us/library/ff647965.aspx
WMI 問與答:https://technet.microsoft.com/en-us/library/ee692772.aspx