WMIC 명령어를 활용한 Windows 시스템 분석
WMI(Windows Management Instrumentation)는 네트워크에서 관리정보를 액세스하고 공유하는 표준을 만들기 위해 Microsoft에서 구현한 프로그램이다. WMIC(Windows Management Instrumentation Command-line)는 WMI에 대한 간단한 명령줄 프로그램이다.
OS 관련 정보를 간략하게 출력하기
# wmic os list brief /format:list
OS 관련 전체 정보를 출력하기
# wmic os get /format:list
OS 정보를 html 형식으로 출력해서 확인
# wmic /output:osinfo.html os get /format:hform
/format:list 를 /format:csv 또는 /format:htable 과 같은 옵션으로 변경해서 활용 가능
OS 시스템을 종료하거나 리부팅하기
# wmic os where "status='ok'" call shutdown
# wmic os where "status='ok'" call reboot
CPU 관련 정보를 간략하게 출력
# wmic cpu list brief /format:list
CPU 관련 전체 정보를 출력
# wmic cpu get /format:list
LOGICALDISK 관련 정보를 확인
# wmic logicaldisk where drivetype=3 get name,size,freespace,systemname /format:list
VOLUME 볼륨 정보를 확인
# wmic volume list brief /format:list
LOGON 모든 로그온 세션의 목록을 확인
# wmic logon list full /format:list | more
ENVIRONMENT 환경설정 목록을 확인
# wmic environment list full /format:list | more
DESKTOP 데스크탑 화면 설정을 확인
# wmic desktop list full /format:list | more
SERVICE 정보를 확인
# wmic service list brief /format:list
SERVICE 정보를 html table 형식으로 출력해서 확인
# wmic /output:service.html service list brief /format:htable
SERVICE %ora% 구문이 들어가있는 이름의 서비스를 확인
# wmic service where "name like '%ora%'" list brief
SERVICE 특정 서비스를 시작하거나 중지
# wmic service where name="service_name" call startservice
# wmic service where name="service_name" call stopservice
COMPUTERSYSTEM 정보를 html 형식으로 출력해서 확인
# wmic /output:compsystem.html computersystem get /format:hform
BIOS 컴퓨터 S/N 넘버 확인
# wmic bios get serialnumber
MEMORYCHIP 메모리 확인하기
# wmic memorychip get banklabel, capacity
PATH 프로세서 CPU 정보 확인
# wmic path win32_processor get numberofcores, numberoflogicalprocessors, processorid
PATH 그래픽카드 GPU 확인
# wmic path win32_VideoController get name
PROCESS processid가 7332인 프로세스의 정보를 간략하게 확인
# wmic process where processid=7332 list brief /format:list
PROCESS 해당 프로세스를 종료
# wmic process where processid=7836 delete
PROCESS 해당 프로세스를 디버깅
# wmic process where processid=5256 call attachdebugger
PROCESS 해당 cmd 명령을 실행합니다
# wmic process call create "cmd.exe /c ipconfig" >> result.txt
PROCESS iexplore.exe 를 종료합니다
# wmic process where name="iexplore.exe" call terminate
PROCESS notepad.exe 의 우선순위를 64로 설정
# wmic process where name="notepad.exe" call setpriority 64
CSPRODUCT 장비의 사양을 확인
# wmic csproduct list brief /format:list
DISKDRIVE 디스크 모델명을 확인
# wmic diskdrive list brief /format:list
STARTUP 시작프로그램 목록을 확인
# wmic startup list brief
PRODUCT 설치된 프로그램 리스트를 확인
# wmic product get name
PRODUCT 설치된 프로그램을 삭제
# wmic product where name="Adobe Reader 9" call uninstall
USERACCOUNT 이름에 ad가 포함된 계정을 확인
# wmic useraccount where "name like '%ad%'" list full
USERACCOUNT 관리자(administrator)의 이름을 hellcat으로 변경
# wmic useraccount where name="administrator" call rename name="hellcat"
SYSDRIVER 시스템 드라이버를 간략하게 확인
# wmic sysdriver list brief /format:list
OS 관련 정보를 간략하게 출력하기
# wmic os list brief /format:list
OS 관련 전체 정보를 출력하기
# wmic os get /format:list
OS 정보를 html 형식으로 출력해서 확인
# wmic /output:osinfo.html os get /format:hform
/format:list 를 /format:csv 또는 /format:htable 과 같은 옵션으로 변경해서 활용 가능
OS 시스템을 종료하거나 리부팅하기
# wmic os where "status='ok'" call shutdown
# wmic os where "status='ok'" call reboot
CPU 관련 정보를 간략하게 출력
# wmic cpu list brief /format:list
CPU 관련 전체 정보를 출력
# wmic cpu get /format:list
LOGICALDISK 관련 정보를 확인
# wmic logicaldisk where drivetype=3 get name,size,freespace,systemname /format:list
VOLUME 볼륨 정보를 확인
# wmic volume list brief /format:list
LOGON 모든 로그온 세션의 목록을 확인
# wmic logon list full /format:list | more
ENVIRONMENT 환경설정 목록을 확인
# wmic environment list full /format:list | more
DESKTOP 데스크탑 화면 설정을 확인
# wmic desktop list full /format:list | more
SERVICE 정보를 확인
# wmic service list brief /format:list
SERVICE 정보를 html table 형식으로 출력해서 확인
# wmic /output:service.html service list brief /format:htable
SERVICE %ora% 구문이 들어가있는 이름의 서비스를 확인
# wmic service where "name like '%ora%'" list brief
SERVICE 특정 서비스를 시작하거나 중지
# wmic service where name="service_name" call startservice
# wmic service where name="service_name" call stopservice
COMPUTERSYSTEM 정보를 html 형식으로 출력해서 확인
# wmic /output:compsystem.html computersystem get /format:hform
BIOS 컴퓨터 S/N 넘버 확인
# wmic bios get serialnumber
MEMORYCHIP 메모리 확인하기
# wmic memorychip get banklabel, capacity
PATH 프로세서 CPU 정보 확인
# wmic path win32_processor get numberofcores, numberoflogicalprocessors, processorid
PATH 그래픽카드 GPU 확인
# wmic path win32_VideoController get name
PROCESS processid가 7332인 프로세스의 정보를 간략하게 확인
# wmic process where processid=7332 list brief /format:list
PROCESS 해당 프로세스를 종료
# wmic process where processid=7836 delete
PROCESS 해당 프로세스를 디버깅
# wmic process where processid=5256 call attachdebugger
PROCESS 해당 cmd 명령을 실행합니다
# wmic process call create "cmd.exe /c ipconfig" >> result.txt
PROCESS iexplore.exe 를 종료합니다
# wmic process where name="iexplore.exe" call terminate
PROCESS notepad.exe 의 우선순위를 64로 설정
# wmic process where name="notepad.exe" call setpriority 64
CSPRODUCT 장비의 사양을 확인
# wmic csproduct list brief /format:list
DISKDRIVE 디스크 모델명을 확인
# wmic diskdrive list brief /format:list
STARTUP 시작프로그램 목록을 확인
# wmic startup list brief
PRODUCT 설치된 프로그램 리스트를 확인
# wmic product get name
PRODUCT 설치된 프로그램을 삭제
# wmic product where name="Adobe Reader 9" call uninstall
USERACCOUNT 이름에 ad가 포함된 계정을 확인
# wmic useraccount where "name like '%ad%'" list full
USERACCOUNT 관리자(administrator)의 이름을 hellcat으로 변경
# wmic useraccount where name="administrator" call rename name="hellcat"
SYSDRIVER 시스템 드라이버를 간략하게 확인
# wmic sysdriver list brief /format:list
