网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

技术应用背景：

目前已知在杀毒厂商以及游戏厂商的安全对抗过程中，常常需要准确的监控收集并进行检测用户创建打开的EXE应用程序是否是安全的。同时也可以将此技术应用于其他应用的安全对抗方案中。那么如何去准确的监控和收集用户每次点击打开的EXE应用程序信息呢？接下来我就进行还原实现下如何准确的监控并收集用户每次点击打开EXE应用程序技术。

下图展示的是开启监控程序，这是进行监控电脑上包括系统自启动EXE程序以及用户主动点击启动应用程序的信息。

实现监控用户所有创建打开EXE程序的数据需要以下几个步骤：

1.通过调用CoInitializeEx函数，进行对COM初始化。

2.通过调用 CoCreateInstance函数， 获得WMI的定位器。

3.通过调用IWbemLocator::ConnectServer函数，并指定函数的参数 strNetworkResource 的值为 “root\cimv2”, 从而实现连接到 "IWbemServices"服务器。

通过调用CoSetProxyBlanket函数，进行设置 IWbemServices的代理，目的是为了WMI 服务能够模拟客户端角色。

5.通过调用 ExecNotificationQuery函数， 来进行查询接收事件。

下图这部分代码主要的目的是为了初始化COM和WMI的设置。

下面代码主要是查询接收事件，也就是通过ExecNotificationQuery查询来循环获取用户所创建打开的所有EXE的数据。

概述：WMI技术算得上是一个很古老的技术，它是由微软提供的，同时也是一种非常可靠的解决方案。WMI它还有一个非常大的优势，可以进行访问远程电脑。它是Windows操作系统中管理数据和操作的基础模块，它提供了一个通过操作系统、网络和企业环境去管理本地或远程计算机的统一接口集。

WMI技术可以应用于：

查询获取正在运行的进程信息；

查询获取正在运行的线程信息；

查询获取桌面信息；

查询获取环境变量信息；

查询获取驱动信息；

查询获取文件夹信息；

查询获取系统信息和系统服务；

查询获取硬件信息；

查询获取磁盘的相关信息。

1.WBEM它的全称:Web Based Enterprise Management(基于web的企业管理),它是一种行业规范，建立在企业网络中访问和共享管理信息的标准。

2.WMI它的全称:Windows Management Instrumentation(Windows管理工具),它是WBEM的Windows实现，也就是它要遵守WBEM规则。通过WMI，我们可以获取关于硬件和软件的相关数据，也可以提供关于硬件或软件服务的数据给WMI。

3.COM 它的全称：Component Object Model(组件对象模型)，它是由微软推出的一套接口规范，通过设定不同组件之间需要遵守的标准与协议，主要用来跨语言、跨进程之间的模块通信。

1.CoInitializeEx函数详解

2. CoCreateInstance函数详解

3. ConnectServer函数详解

4. CoSetProxyBlanket函数详解

5.ExecNotificationQuery函数详解