事件日志侦听器验证

攻击指标安装脚本在计算机内存中配置事件观察程序和 Windows Management Instrumentation (WMI) 生产者/使用者。WMI 是一个 Windows 组件，为您提供有关本地或远程计算机系统状态的信息。

若要检查 WMI 注册是否正确，请执行以下操作：

• 在 PowerShell 中运行以下命令：

  复制

  Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

• 如果至少存在一个使用者，您将获得以下类型的输出：

  复制

  > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""
  
  
  __GENUS                 : 2
  __CLASS                 : __FilterToConsumerBinding
  __SUPERCLASS            : __IndicationRelated
  __DYNASTY               : __SystemClass
  __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                            ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  __PROPERTY_COUNT        : 7
  __DERIVATION            : {__IndicationRelated, __SystemClass}
  __SERVER                : DC-999
  __NAMESPACE             : ROOT\subscription
  __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                            =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
  CreatorSID              : {1, 1, 0, 0...}
  DeliverSynchronously    : False
  DeliveryQoS             :
  Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
  MaintainSecurityContext : False
  SlowDownProviders       : False
  PSComputerName          : DC-999
  

  • 如果没有已注册的 WMI 使用者，则该命令不返回任何内容。

  • 这是进程在 DC for WMI 上运行的先决条件。