WMIC 명령어를 활용한 Windows 시스템 분석

WMI(Windows Management Instrumentation)는 네트워크에서 관리정보를 액세스하고 공유하는 표준을 만들기 위해 Microsoft에서 구현한 프로그램이다. WMIC(Windows Management Instrumentation Command-line)는 WMI에 대한 간단한 명령줄 프로그램이다.

OS 관련 정보를 간략하게 출력하기
# wmic os list brief /format:list

OS 관련 전체 정보를 출력하기
# wmic os get /format:list

OS 정보를 html 형식으로 출력해서 확인
# wmic /output:osinfo.html os get /format:hform

/format:list 를 /format:csv 또는 /format:htable 과 같은 옵션으로 변경해서 활용 가능

OS 시스템을 종료하거나 리부팅하기
# wmic os where "status='ok'" call shutdown
# wmic os where "status='ok'" call reboot

CPU 관련 정보를 간략하게 출력
# wmic cpu list brief /format:list

CPU 관련 전체 정보를 출력
# wmic cpu get /format:list

LOGICALDISK 관련 정보를 확인
# wmic logicaldisk where drivetype=3 get name,size,freespace,systemname /format:list

VOLUME 볼륨 정보를 확인
# wmic volume list brief /format:list

LOGON 모든 로그온 세션의 목록을 확인
# wmic logon list full /format:list | more

ENVIRONMENT 환경설정 목록을 확인
# wmic environment list full /format:list | more

DESKTOP 데스크탑 화면 설정을 확인
# wmic desktop list full /format:list | more

SERVICE 정보를 확인
# wmic service list brief /format:list

SERVICE 정보를 html table 형식으로 출력해서 확인
# wmic /output:service.html service list brief /format:htable

SERVICE %ora% 구문이 들어가있는 이름의 서비스를 확인
# wmic service where "name like '%ora%'" list brief

SERVICE 특정 서비스를 시작하거나 중지
# wmic service where name="service_name" call startservice
# wmic service where name="service_name" call stopservice

COMPUTERSYSTEM 정보를 html 형식으로 출력해서 확인
# wmic /output:compsystem.html computersystem get /format:hform

BIOS 컴퓨터 S/N 넘버 확인
# wmic bios get serialnumber

MEMORYCHIP 메모리 확인하기
# wmic memorychip get banklabel, capacity

PATH 프로세서 CPU 정보 확인
# wmic path win32_processor get numberofcores, numberoflogicalprocessors, processorid

PATH 그래픽카드 GPU 확인
# wmic path win32_VideoController get name

PROCESS processid가 7332인 프로세스의 정보를 간략하게 확인
# wmic process where processid=7332 list brief /format:list

PROCESS 해당 프로세스를 종료
# wmic process where processid=7836 delete

PROCESS 해당 프로세스를 디버깅
# wmic process where processid=5256 call attachdebugger

PROCESS 해당 cmd 명령을 실행합니다
# wmic process call create "cmd.exe /c ipconfig" >> result.txt

PROCESS iexplore.exe 를 종료합니다
# wmic process where name="iexplore.exe" call terminate

PROCESS notepad.exe 의 우선순위를 64로 설정
# wmic process where name="notepad.exe" call setpriority 64

CSPRODUCT 장비의 사양을 확인
# wmic csproduct list brief /format:list

DISKDRIVE 디스크 모델명을 확인
# wmic diskdrive list brief /format:list

STARTUP 시작프로그램 목록을 확인
# wmic startup list brief

PRODUCT 설치된 프로그램 리스트를 확인
# wmic product get name

PRODUCT  설치된 프로그램을 삭제
# wmic product where name="Adobe Reader 9" call uninstall

USERACCOUNT 이름에 ad가 포함된 계정을 확인
# wmic useraccount where "name like '%ad%'" list full

USERACCOUNT 관리자(administrator)의 이름을 hellcat으로 변경
# wmic useraccount where name="administrator" call rename name="hellcat"

SYSDRIVER 시스템 드라이버를 간략하게 확인
# wmic sysdriver list brief /format:list