WMI

CyberTriage团队最近分享了一份完整的WMI指南；这份指南被称为"WMI恶意软件完整指南"，但其内容远不止恶意软件。他们涵盖了发现和枚举的示例，以及执行方法，但最吸引我注意的是持久化机制。这在很大程度上源于我们在2016年进行的一项调查，该调查最终形成了一篇关于新型持久化机制的博客文章。该博客文章中说明的持久化机制与Mandiant BlackHat 2014演示中看到的内容相似（参见幻灯片44）。

有趣的是，我们持续看到这种WMI持久化机制被反复使用，即在WMI存储库中添加事件消费者。除了之前提到的2016年博客文章外，微软自己在2020年发布的关于人为操作勒索软件的博客文章中也包含这样的声明："…证据表明攻击者设置了WMI持久化机制…"

除了CyberTriage指南和其他资源提供的一些命令外，微软自己的AutoRuns工具也包含对实时系统上WMI持久化机制的检查。

还有许多工具可用于解析WMI存储库/OBJECTS.DATA文件，以查找在磁盘或"死盒"取证期间为持久化而添加的事件消费者，例如wmi-parser和flare-wmi。Chad Tilbury在他的博客文章《使用磁盘取证查找恶意WMI事件消费者》中分享了一些非常有价值的信息。

磁盘取证不仅仅涉及解析WMI存储库；还包括Windows事件日志。从这篇关于WMI审计的NXLog博客文章中，可以在WMI/Operational事件日志中查找事件ID 5861记录。

我知道有些人喜欢使用plaso，虽然它是一个很棒的工具，但我不确定它是否解析WMI存储库。我发现了这个关于添加该功能的问题，但我没有看到必要的解析器已添加到代码中。如果已经添加了此功能，如果有人能给我链接到描述/记录这一事实的资源，我将不胜感激。谢谢！