웃바네

스냅샷 모니터는 성능 카운터 및 내장된 PerfMon 제공자를 사용하여 WMI (Windows Management Instrumentation) 를 사용하여 액세스할 수 있습니다. WMI에서 프로파일 레지스트리 변수에 액세스할 때는 내장 레지스트리 제공자를 사용합니다. WMI SDK(WMI Software Development Kit)에는 다음과 같은 몇 가지 내장 제공자가 포함되어 있습니다. PerfMon 제공자 레지스트리 이벤트 제공자 레지스트리 제공자 Windows 이벤트 로그 제공자 Win32 제공자 WDM 제공자 기본 제공 Windows 이벤트 로그 제공자를 사용하여 WMI 에서 이벤트 로그의 데이터베이스 오류에 액세스할 수 있습니다. 데이터베이스 시스템에는 다음 관리되는 오브젝트에 액세스하기 ..

WMI는 윈도우 NT 4.0과 Windows 95부터 모든 윈도우 운영체제에 존재하는 기능으로서, 윈도우 시스템을 관리하기 위한 도구의 집합이다. 로컬과 원격 환경을 모두 지원하며 매우 다양한 기능을 제공한다. 공격자는 WMI의 강력한 기능을 공격에 악용하여 AV, VM 탐지, 코드 실행, Lateral Movement, 공격 지속, 데이터 탈취 등 공격 전반에 이르는 영역에 활용하고 있다. 특히 WMI는 파일리스한 특성으로 인해 공격자들의 인기를 끌고 있으며 2010년 Stuxnet에서 발견된 이후 꾸준히 발견되고 있다. 이 글에서는 다음의 내용을 다룬다. WMI 개념과 구조 WMI 사용 WMI 실전 활용 1. WMI 구조 WMI는 WBEM(Web-Based Enterprise Management)와 ..