Wmiprvse.exe进程详细参数
Wmiprvse.exe是Windows管理规范(WMI),它是微软 Windows 操作系统的一个组件,它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、网络,和其它组件的信息。有经验的开发人员可以用WMI创建事件监视应用程序,一旦出现异常情况即可通知用户,是一款十分有用的系统组件。
黑客们会利用这一点,他们用木马病毒程序感染系统文件Wmiprvse.exe,或者让病毒程序插入wmiprvse.exe运行,这时候wmiprvse.exe已经成为病毒木马程序或病毒木马的载体。这种情况下,电脑很容易丢失重要帐号信息,或者浏览器主页被锁定。
Wmiprvse.exe进程详细参数
进程文件:wmiprvse or wmiprvse.exe
进程名称:Microsoft Windows Management Instrumentation
出品者:Microsoft
属于:Microsoft Windows Operating System
系统进程:是
后台程序:是
使用网络:否
硬件相关:否
常见错误:未知N/A
内存使用:未知N/A
安全等级 (0-5):0
间谍软件:否
广告软件:否
病毒:否
木马:否
其它:微软正版认证重要后台程序之一
从Windows XP开始,WMI属于有着几个其它服务的一个共享服务宿主。为了避免当一个提供程序失败时停止所有服务,提供程序被载入一个名为Wmiprvse.exe的分开的主机进程。Wmiprvse.exe 的多个实例可以同时运行在不同的帐户下:LocalSystem、NetworkService,或LocalService。WMI 核心WinMgmt.exe被载入名为Svchost.exe的共享的本地服务宿主。
注:wmiprvse.exe文件寻找,正常的应该在C:WINDOWS System32 Wbem文件夹。如果在其它文件,wmiprvse.exe就是病毒、间谍软件、特洛伊木马或蠕虫! 用安全任务管理器检查这。如果发现进程中含有多个wmiprvse.exe 进程则为电脑中病毒,一般使用杀毒软件都可以有效清除。
恶意软件的案例:
https://any.run/report/a7c2f6517a6c7f3091afc8566040a6a56aa50b162fa4ee416ebc0ede72cda6f7/c23ad5f3-1936-422d-bdbd-01c01984a7c6
https://any.run/report/a2dd57b545d9a82e4985a44d3a2e75ad0ac076ca4da8658eea89f95f58ef82fc/6f11c244-bd96-4a68-a1c1-e1891333fa39
https://any.run/report/02d3e29c37af562636fd0020a6c586711fbbab3838a82dbd25987d14ed919c65/530da726-e903-425b-9a08-30c505603f3e#registry
原本该进程位置在C盘wbem下:
$ which WmiPrvSE
/c/WINDOWS/System32/Wbem/WmiPrvSE
而非法的进程是在:
"C:\ProgramData\Adobe\ARM\Reader_15.007.20033\WmiPrvSE.exe"