先决条件：
a. 启动Windows Management Instrumentation服务，开放TCP135端口。
b. 本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”。
----------------------------------------------------------------------------------------------------------
第一次执行WMIC命令时，Windows首先要安装WMIC，然后显示出WMIC的命令行提示符。在WMIC命令行提示符上，命令以交互的方式执行。
执行“wmic”命令启动WMIC命令行环境。这个命令可以在XP或 .NET Server的标准命令行解释器（cmd.exe）、Telnet会话或“运行”对话框中执行。这些启动方法可以在本地使用，也可以通过.NET Server终端服务会话使用。
wimic的运行方式可以有两种法：
1、搞入wimic进入后输入命令运行，键入wimic后出现wmic:root\cli&时你就可以输入命令了，如输入process显示所有的进程。不知道有什么命令时可以输入用/?来显示帮助。exit 是退出交互模式。
2、用wimic 后面直接跟命令运行，如wmic process 就显示了所有的进程了。这两种运行方法就是：交互模式(Interactive mode)和非交互模式(Non-Interactive mode)
wmic 获取进程名称以及可执行路径:
wmic process get name,executablepath
wmic 删除指定进程(根据进程名称):
wmic process where name=&qq.exe& call terminate
wmic process where name=&qq.exe& delete
wmic 删除指定进程(根据进程PID):
wmic process where pid=&123& delete
wmic 创建新进程
wmic process call create &C:\Program Files\Tencent\QQ\QQ.exe&
在远程机器上创建新进程：
wmic /node:192.168.1.10 /user:administrator /password:123456 process call create cmd.exe
关闭本地计算机
wmic process call create shutdown.exe
重启远程计算机
wmic /node:192.168.1.10/user:administrator /password:123456 process call create &shutdown.exe -r -f -m&
更改计算机名称
wmic computersystem where &caption='%ComputerName%'& call rename newcomputername
更改帐户名
wmic USERACCOUNT where &name='%UserName%'& call rename newUserName
wmic 结束可疑进程（根据进程的启动路径）
wmic process where &name='explorer.exe' and executablepath&&'%SystemDrive%\\windows\\explorer.exe'& delete
wmic 获取物理内存
wmic memlogical get TotalPhysicalMemory|find /i /v &t&
wmic 获取文件的创建、访问、修改时间
for /f &skip=1 tokens=1,3,5 delims=. & %%a in ('wmic datafile where name^=&c:\\windows\\system32\\notepad.exe& get CreationDate^,LastAccessed^,LastModified') do (
echo 文件: c:\windows\system32\notepad.exe
echo 创建时间: %a:~0,4% 年 %a:~4,2% 月 %a:~6,2% 日 %a:~8,2% 时 %a:~10,2% 分 %a:~12,2% 秒
echo 最后访问: %b:~0,4% 年 %b:~4,2% 月 %b:~6,2% 日 %b:~8,2% 时 %b:~10,2% 分 %b:~12,2% 秒
echo 最后修改: %c:~0,4% 年 %c:~4,2% 月 %c:~6,2% 日 %c:~8,2% 时 %c:~10,2% 分 %c:~12,2% 秒
wmic 全盘搜索某文件并获取该文件所在目录
for /f &skip=1 tokens=1*& %i in ('wmic datafile where &FileName='qq' and extension='exe'& get drive^,path') do (set &qPath=%i%j&&@echo %qPath:~0,-3%)
获取屏幕分辨率 wmic DESKTOPMONITOR where Status='ok' get ScreenHeight,ScreenWidth
wmic PageFileSet set InitialSize=&512&,MaximumSize=&512&
设置虚拟内存到E盘，并删除C盘下的页面文件,重启计算机后生效
wmic PageFileSet create name=&E:\\pagefile.sys&,InitialSize=&1024&,MaximumSize=&1024&
wmic PageFileSet where &name='C:\\pagefile.sys'& delete
获得进程当前占用的内存和最大占用内存的大小：
wmic process where caption='filename.exe' get WorkingSetSize,PeakWorkingSetSize
以KB为单位显示
for /f &skip=1 tokens=1-2 delims= & %%a in ('wmic process where caption^=&conime.exe& get WorkingSetSize^,PeakWorkingSetSize') do (
set /a m=%%a/1024
set /a mm=%%b/1024
echo 进程conime.exe现在占用内存：%m%K；最高占用内存：%mm%K
远程打开计算机远程桌面
wmic /node:%pcname% /USER:%pcaccount% PATH win32_terminalservicesetting WHERE (__Class!=&&) CALL SetAllowTSConnections 1
检测是否插入U盘的批处理
((wmic logicaldisk where &drivetype=2& get name|find &无可用范例&)&nul 2&nul)||for /f &skip=1 tokens=* delims=& %%i in ('wmic logicaldisk where &drivetype=2& get name') do echo U盘盘符是 %%i
rem 查看cpu&
wmic cpu list brief
rem 查看物理内存
wmic memphysical list brief
rem 查看逻辑内存
wmic memlogical list brief
rem 查看缓存内存
wmic memcache list brief
rem 查看虚拟内存
wmic pagefile list brief
rem 查看网卡
wmic nic list brief
rem 查看网络协议
wmic netprotocal list brief
【例】将当前系统BIOS，CPU，主板等信息输出到一个HTML网页文件，命令如下:
::得到系统信息.bat，运行bat文件即可
::系统信息输出到HTML文件,查看帮助: wmic /?
::wmic [系统参数名] list [brief|full] /format:hform &|&& [文件名]
wmic bios&&&&&&&&&&& list brief&& /format:hform & PCinfo.html
wmic baseboard&&&&&& list brief&& /format:hform &&PCinfo.html
wmic cpu&&&&&&&&&&&& list full&&& /format:hform &&PCinfo.html
wmic os&&&&&&&&&&&&& list full&&& /format:hform &&PCinfo.html
wmic computersystem& list brief&& /format:hform &&PCinfo.html
wmic diskdrive&&&&&& list full&&& /format:hform &&PCinfo.html
wmic memlogical&&&&& list full&&& /format:hform &&PCinfo.html
PCinfo.html
【经典案例语句】
1. wmic /node:&192.168.1.20& /user:&domain\administrator& /password:&123456&
2.【硬件管理】：
获取磁盘资料：
wmic DISKDRIVE get deviceid,Caption,size,InterfaceType
获取分区资料：
wmic LOGICALDISK get name,Description,filesystem,size,freespace
获取CPU资料:
wmic cpu get name,addresswidth,processorid
获取主板资料:
wmic BaseBoard get Manufacturer,Product,Version,SerialNumber
获取内存数:
wmic memlogical get totalphysicalmemory
获得品牌机的序列号:
wmic csproduct get IdentifyingNumber
获取声卡资料:
wmic SOUNDDEV get ProductName
获取屏幕分辨率
wmic DESKTOPMONITOR where Status='ok' get ScreenHeight,ScreenWidth
3. PROCESS【进程管理】：
wmic process list brief
(Full显示所有、Brief显示摘要、Instance显示实例、Status显示状态)
wmic 获取进程路径:&
wmic process where name=&jqs.exe& get executablepath
wmic 创建新进程&
wmic process call create notepad
wmic process call create &C:\Program Files\Tencent\QQ\QQ.exe&&
wmic process call create &shutdown.exe -r -f -t 20&
wmic 删除指定进程:&
wmic process where name=&qq.exe& call terminate&
wmic process where processid=&2345& delete&
wmic process 2345 call terminate
wmic 删除可疑进程
wmic process where &name='explorer.exe' and executablepath&&'%SystemDrive%\\windows\\explorer.exe'& delete
wmic process where &name='svchost.exe' and ExecutablePath&&'C:\\WINDOWS\\system32\\svchost.exe'& call Terminate
3. USERACCOUNT【账号管理】：
更改当前用户名&
WMIC USERACCOUNT where &name='%UserName%'& call rename newUserName&
WMIC USERACCOUNT create /?
4. SHARE【共享管理】：
WMIC SHARE CALL Create &&,&test&,&3&,&TestShareName&,&&,&c:\test&,0
(可使用 WMIC SHARE CALL Create /? 查看create后的参数类型)
WMIC SHARE where name=&C$& call delete
WMIC SHARE where path='c:\\test' delete
5. SERVICE【服务管理】：
更改telnet服务启动类型[Auto|Disabled|Manual]
wmic SERVICE where name=&tlntsvr& set startmode=&Auto&
运行telnet服务
wmic SERVICE where name=&tlntsvr& call startservice
停止ICS服务
wmic SERVICE where name=&ShardAccess& call stopservice
删除test服务
wmic SERVICE where name=&test& call delete
6. FSDIR【目录管理】
列出c盘下名为test的目录
wmic FSDIR where &drive='c:' and filename='test'& list
删除c:\good文件夹
wmic fsdir &c:\\test& call delete
重命名c:\test文件夹为abc
wmic fsdir &c:\\test& rename &c:\abc&
wmic fsdir where (name='c:\\test') rename &c:\abc&
复制文件夹
wmic fsdir where name='d:\\test' call copy &c:\\test&
7.datafile【文件管理】
wmic datafile &c:\\test.txt& call rename c:\abc.txt
8.【任务计划】：
wmic job call create &notepad.exe&,0,0,true,false,********000+480
wmic job call create &explorer.exe&,0,0,1,0,********000+480
参考网文：Windows WMIC命令使用详解(附实例)_易贤网 /n5.aspx
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：644167次
积分：12863
积分：12863
排名：第818名
原创：647篇
转载：28篇
译文：16篇
评论：278条
(15)(20)(26)(60)(53)(55)(46)(63)(58)(38)(47)(6)(3)(1)(18)(12)(4)(6)(13)(7)(3)(5)(5)(6)(2)(1)(2)(3)(4)(1)(21)(46)(38)(1)windows的powershell强大到没朋友_linux吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：166,323贴子：
windows的powershell强大到没朋友收藏
面向对象强类型C风格的语法还可以无缝调用.NET，甚至可以写GUI
达内linux培训,将网络工程与Linux系统运维结合,培养高端Linux运维人才;linux培训优势多:rhca讲师多;红帽认证费用低;linux课时长;送补考机会
简直吓尿，为什么我觉得这货和一个叫emacs的东西很像
那还是让它继续没朋友吧
姐姐大人也这么说。御坂御坂
强大一般也意味着学着困难吧——来自核桃终结者lumia 920
凡事•不平凡
这鬼画符一样的标识符是从Perl学来的么？
看起来好别扭，c风格和unix shell风格混合在一起而且只能调用dotnet库不能调用二进制库，还是不能取代python之类的语言。
很牛逼么？我下载了，然后一看那shi一样的背景色立马就删了
尚观linux培训,[120天入门到精通-年薪10W入职],签订《就业协议》,法律有效,企业项目实战授课.毕业直接增长2年工作经验,2017linux培训&十佳机构&
。。。。。
　　　#chmod 777 / -R
win 10自带？还是咋的　　　#chmod 777 / -R
调用cmd命令的编码问题还存在么？ 就是某些命令因为编码问题cmd调用输出正常(输出有中文)而powershell调用就会乱码那种
没朋友啊没朋友，
不需要，我有大gnome-terminal就够了
看起来很牛叉的样子，可惜对win无爱。
只感觉这语法很蛋疼
--今天律所里来了一位男士，离婚案件，女方有第三者。男士强调，财产可以少要但孩子抚养权要到手。我们提醒他，DNA鉴定孩子非亲生啊！男士斩钉截铁说和女儿感情很深。
嗯。。pash 发来贺电# TODO: 被琳和零度穿上女装　# 卜也要给我穿　# 不过墨应该自己先穿
什么时候ps把bash干倒再说吧，问题是有可能吗？？？linux会自带bash，python，perl，但是会自带mono，ps吗？
对我来说，除了能透明连git带的bash都不如。曾经带着日常脚本和shell的想法去看了看语法，只想说shit，bye。
windows对我来说就上面的几个软件，比如qq，office，，还有几个exe。我觉得我基本可以单奔了。
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或PowerShell：恶意软件的新宠
最强大的恶意软件工具并非暗网深处的神器，它就藏在每个企业的“床底下”PowerShell是一个强大的命令行工具，是微软公司为Windows环境开发的壳程序（shell）及脚本语言技术，让Windows也拥有了类似UNIX的功能强大的壳程序。但是PowerShell的强大同时也是一柄双刃剑，成为企业信息安全的心腹大患。根据安全公司CaronBlack的最新研究报告，高达38%的复合恶意软件软件攻击开始将PowerShell作为工具之一。攻击者如此青睐PowerShell的原因是PowerShell在企业中随处可见，大多数安全人士并不会将PowerShell视为安全威胁。这
使得PowerShell成为最有效的攻击模块之一。PowerShell的脚本能够在内存中运行，而且不会在磁盘中留下任何文件痕迹，在系统中产生的
“动静”很小，因此往往不会引起人们的注意。根据CaronBlack的报告，与PowerShell有关的攻击中，31%的受害企业都没有收到安全警
报。PowerShell在恶意软件攻击中流行的另外一个原因是为PowerShell编写脚本的效率很高，比起开发恶意软件二进制代码来说要容易得多，在达到同样效果的前提下，攻击者自然愿意选择PowerShell。对于PowerShell的恶意使用，目前尚未有效防范手段，因此IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监
控，记录PowerShell的活动并通过分析日志来发现异常行为，创建规则在发生异常行为时报警，例如微软Office应用不会不会在处理中调用
PowerShell，因此出现这种情况就需要格外警惕。安全人士还需要经常审视PowerShell的命令行，通常合法脚本的内容和目的都很直观，而攻击脚本通常都使用Base64加密命令行，而且经常把所有整个脚本团塞在一行中，一眼就能看出异常。稿源：
转载请注明：文章转载自 开源中国社区
本文标题：PowerShell：恶意软件的新宠
本文地址：
引用来自“ishiguang”的评论厉害，哈哈。powershell怎么学习啊http://www.pstips.net//ps/
引用来自“ishiguang”的评论厉害，哈哈。powershell怎么学习啊引用来自“oneryx”的评论/en-us/powershell其实我不会，哈哈，需要干什么就现查呗。如果仅仅启动程序把类似下面这个保存成start.ps1就行了。Start-Process notepad.exeStart-Process ...当然可以弄复杂一点，支持参数，快捷方式，分组等等...引用来自“人生能绕几个圈”的评论既然是用windows不就为了少用命令行吗？如果要用命令行，那么还用Windows干嘛，用Linux原生的命令行不更强大吗？命令行什么系统都必须有，它是套好用的工具，只不过对于非高级用户来说命令行不必要。
引用来自“ishiguang”的评论厉害，哈哈。powershell怎么学习啊引用来自“oneryx”的评论/en-us/powershell其实我不会，哈哈，需要干什么就现查呗。如果仅仅启动程序把类似下面这个保存成start.ps1就行了。Start-Process notepad.exeStart-Process ...当然可以弄复杂一点，支持参数，快捷方式，分组等等...既然是用windows不就为了少用命令行吗？如果要用命令行，那么还用Windows干嘛，用Linux原生的命令行不更强大吗？
引用来自“ishiguang”的评论厉害，哈哈。powershell怎么学习啊/en-us/powershell其实我不会，哈哈，需要干什么就现查呗。如果仅仅启动程序把类似下面这个保存成start.ps1就行了。Start-Process notepad.exeStart-Process ...当然可以弄复杂一点，支持参数，快捷方式，分组等等...
厉害，哈哈。powershell怎么学习啊}