wmic教程 命令收集 收藏.doc

wmic教程 命令收集 收藏 BIOS 基本输入/输出服务 (BIOS) 管理 :查看bios版本型号 wmic bios get Manufacturer,Name COMPUTERSYSTEM 计算机系统管理 :查看系统启动选项,boot的内容 wmic COMPUTERSYSTEM get SystemStartupOptions :查看工作组/域 wmic computersystem get domain :更改计算机名abc为123 wmic computersystem where “name=abc” call rename 123 :更改工作组google为MyGroup wmic computersystem where “name=google” call joindomainorworkgroup “”,”,”MyGroup”,1 CPU CPU 管理 :查看cpu型号 wmic cpu get name DATAFILE DataFile 管理 :查找e盘下test目录(不包括子目录)下的cc.cmd文件 wmic datafile where “drive=e: and path=test and FileName=cc and Extension=cmd” list :查找e盘下所有目录和子目录下的cc.cmd文件,且文件大小大于1K wmic datafile where “drive=e: and FileName=cc and Extension=cmd and FileSize1000” list :删除e盘下文件大小大于10M的.cmd文件 wmic datafile where “drive=e: and Extension=cmd and FileSize10000000” call delete :删除e盘下test目录(不包括子目录)下的非.cmd文件 wmic datafile where “drive=e: and Extensioncmd and path=test” call delete :复制e盘下test目录(不包括子目录)下的cc.cmd文件到e:,并改名为aa.bat wmic datafile where “drive=e: and path=test and FileName=cc and Extension=cmd” call copy “e:aa.bat” :改名c:hello.txt为c:test.txt wmic datafile “c:hello.txt” call rename c:test.txt :查找h盘下目录含有test,文件名含有perl,后缀为txt的文件 wmic datafile where “drive=h: and extension=txt and path like %test% and filename like %perl%” get name DESKTOPMONITOR 监视器管理 :获取屏幕分辨率 wmic DESKTOPMONITOR where Status=ok get ScreenHeight,ScreenWidth DISKDRIVE 物理磁盘驱动器管理 :获取物理磁盘型号大小等 wmic DISKDRIVE get Caption,size,InterfaceType ENVIRONMENT 系统环境设置管理 :获取temp环境变量 wmic ENVIRONMENT where “name=temp” get UserName,VariableValue :更改path环境变量值,新增e:tools wmic ENVIRONMENT where “name=path and username=” set VariableValue=”%path%;e:tools” :新增系统环境变量home,值为%HOMEDRIVE%HOMEPATH% wmic ENVIRONMENT create name=”home”,username=”,VariableValue=”%HOMEDRIVE%HOMEPATH%” :删除home环境变量 wmic ENVIRONMENT where “name=home” delete FSDIR 文件目录系统项目管理 :查找e盘下名为test的目录 wmic FSDIR where “drive=e: and filename=test” list :删除e:test目录下除过目录abc的所有目录 wmic FSDIR where “drive=e: and path=test and filenameabc” call delete :删除c:good文件夹 wmic fsdir “c:good” call delete :重命名c:good文件夹为abb wmic fsdir “c:good” rename “c:abb” LOGICALDISK 本地储存设备管理 :获取硬盘系统格式、总大小、可用空间等 wmic LOGICALDISK get name,Description,filesystem,size,freespace NIC 网络界面控制器 (NIC) 管理 OS 已安装的操作系统管理 :设置系统时间 wmic os where(primary=1) call setdatetime 20070731144642.555555+480 PAGEFILESET 页面文件设置管理 :更改当前页面文件初始大小和最大值 wmic PAGEFILESET set InitialSize=”512,MaximumSize=”512 :页面文件设置到d:下,执行下面两条命令 wmic pagefileset create name=d:pagefile.sys,initialsize=512,maximumsize=1024 wmic pagefileset where”name=c:pagefile.sys” delete PROCESS 进程管理 :列出进程的核心信息,类似任务管理器 wmic process list brief :结束svchost.exe进程,路径为非C:WINDOWSsystem32svchost.exe的 wmic process where “name=svchost.exe and ExecutablePathC:WINDOWSsystem32svchost.exe” call Terminate :新建notepad进程 wmic process call create notepad PRODUCT 安装包任务管理 :安装包在C:WINDOWSInstaller目录下 :卸载.msi安装包 wmic PRODUCT where “name=Microsoft .NET Framework 1.1 and Version=1.1.4322” call Uninstall :修复.msi安装包 wmic PRODUCT where “name=Microsoft .NET Framework 1.1 and Version=1.1.4322” call Reinstall SERVICE 服务程序管理 :运行spooler服务 wmic SERVICE where name=”Spooler” call startservice :停止spooler服务 wmic SERVICE where name=”Spooler” call stopservice :暂停spooler服务 wmic SERVICE where name=”Spooler” call PauseService :更改spooler服务启动类型auto|Disabled|Manual 释自动|禁用|手动 wmic SERVICE where name=”Spooler” set StartMode=”auto” :删除服务 wmic SERVICE where name=”test123 call delete 文章地址:/system/20090430/wmic-command/SHARE 共享资源管理 :删除共享 wmic SHARE where name=”e$” call delete :添加共享 WMIC SHARE CALL Create “”,”test”,”3,”TestShareName”,”,”c:test”,0 SOUNDDEV 声音设备管理 wmic SOUNDDEV list STARTUP 用户登录到计算机系统时自动运行命令的管理 :查看msconfig中的启动选项 wmic STARTUP list SYSDRIVER 基本服务的系统驱动程序管理 wmic SYSDRIVER list USERACCOUNT 用户帐户管理 :更改用户administrator全名为admin wmic USERACCOUNT where name=”Administrator” set FullName=”admin” :更改用户名admin为admin00 wmic useraccount where “name=admin” call Rename admin00关于 WMIC 的使用最佳操作对为别名返回的特定实例使用 WHERE () 子句。? WHERE() 子句必须包括 WHERE 子句以进行有效的 WQL 查询。只有复杂的条件才需要括号。请查看 WQL 语法的 WMI SDK。WHERE() 子句必须紧随在别名之后。例如： process where (processID300) list brief ? 当 WHERE 子句是 WHERE NAME= 时，只提供值就足够了。例如： SERVICE CLIPSRV代替：SERVICE WHERE NAME=CLIPSRV 使用 /OUTPUT、/APPEND 和 /RECORD 命令重定向输出。? 以 HTML 格式输出的命令（如 CLASS）通常将它们的输出定向到一个文件。然后可以查看该文件，以了解命令的结果。可以使用 /OUTPUT、/APPEND 和 /RECORD 命令重定向输出。 如果值包含特殊字符（短划线、斜杠或空格），则请用引号将值括起来。对于大的域或数据库，请使用以下查询的方法? ALIASWMIC ALIAS PROCESS LIST BRIEF ? USERACCOUNTWMIC USERACCOUNT WHERE “Name=PutUserNameHere and Domain=PutDomainNameHere” ? FSDIRWMIC FSDIR WHERE Name=c:WINDOWS ? DATAFILEWMIC DATAFILE WHERE Name=”c:boot.ini” WMIC DATAFILE WHERE “PATH=windows and Extension=exe and FileSize108032” GET LastAccessed, LastModified, Name, FileSize ? NTEVENTWMIC NTEVENT WHERE “LogFile=system and Type0” GET Message, TimeGenerated WMIC NTEVENT WHERE “LogFile=system and Type0” GET Message, TimeGenerated /FORMAT:htable c:MySystemEvents.htm ? 查询：使用引号 “” 将 WHERE 表达式分开，而不用括号 ()：WMIC NTEVENT WHERE “LogFile=system and Type4” 比较：WMIC NTEVENT WHERE (LogFile=system and TYPE4)在这种情况下，命令行解释器将曲解 4)并试图将输出重定向到指定文件 4) 在交互模式下运行 WMIC1.单击“开始”，然后单击“运行”。 2.键入：WMIC，然后按 Enter。 3.键入希望 WMIC 执行的别名、命令或全局开关。 注意? 要执行该过程，您必须是本地计算机上 Administrators 组的成员，或者您必须被委派了适当的权限。如果计算机已加入某个域，则 Domain Admins 组的成员可能会执行该过程。详细信息，请参阅默认本地组和默认组。 ? 在交互模式下使用完 WMIC 之后，可以使用 Exit 或 Quit 命令退出 WMIC。 ? 有关 WMIC 命令的详细信息，请在命令提示符处键入 /?。 在非交互模式下运行 WMIC1.打开“命令提示符”。 2.在命令提示符下，键入：WMIC和希望 WMIC 执行的命令、别名或全局开关。 3.按 Enter。 注意要执行该过程，您必须是本地计算机上 Administrators 组的成员，或者您必须被委派了适当的权限。如果计算机已加入某个域，则 Domain Admins 组的成员可能会执行该过程。作为安全性最佳操作，请考虑使用“运行方式”执行此过程。详细信息，请参阅默认本地组、默认组以及使用运行方式。 要打开命令提示符窗口，请单击“开始”，依次指向“所有程序”、“附件”，然后单击“命令提示符”。 在非交互式模式下，WMIC 在执行一个命令之后返回到命令提示符。 有关 WMIC 命令的详细信息，请在命令提示符处键入 WMIC /?。WMIC 的安全性有关安全模式的一般信息只有本地 Administrators 组的用户才可以启动 WMIC。在任何从 WMIC 到 WMI 的调用中都会强制执行 WMI 安全访问模型。操作系统对于通过 WMI 执行的任何操作均强制实施操作系统级别的安全性。例如，您不能通过 WMI 访问您不能从 Windows 资源管理器访问的文件。WMIC 是 WMI 的客户端，因此所有安全检查都在 WMI 组件内进行。在连接到远程计算机之前，组件使用 PING 功能验证输入的有效性（远程计算机状态）。当 WMIC 在 Telnet、终端服务或相似会话中使用时，所有命令都将在发布该命令的用户环境中执行。WMIC 允许对别名和 XSL 进行扩展。安全性是通过 NTFS 解决的，该文件系统对访问 WMIC 的文件的操作实施仅限管理员的凭据要求。除方法参数以外，WMIC 还允许只通过 /NODE 开关进行数据输入。可以使用 FileList 选项作为一个文本文件提供计算机节点的列表。文件以及其位置应由管理员进行保护，并且输入文件最好应从 WBEM 目录中读取。用户权限不需要特殊的用户权限即可运行 WMIC。含蓄地说，为了能够使用 WMIC，用户需要有对 WMIC 名称空间和两个注册表项（HKLMSoftwareMicrosoftWBEM 和 HKLMSoftwareMicrosoftWBEMWMIC）的完全写入访问权。身份验证和授权当这些资源被打开时，系统将提供身份验证和授权。它们存储在安全的位置，并使用随机访问控制列表 (DACL) 验证客户端是否具有对它们进行访问的权限。它们完全依赖于分布式组件对象模型 (DCOM) 安全性以及 Windows 管理 (WINMGMT) 进行远程访问，提供所需要的用户名、密码和所请求的级别。可以使用 /AUTHLEVEL 开关保护 WMIC 网络通信的安全。在 Windows Server 2003 家族操作系统中，默认级别设置为 PKTPRIVACY，它提供数据包隐私性加密级别。可以使用 /AUTHLEVEL 开关修改身份验证级别。示例：WMIC /AUTHLEVEL:Pktprivacy /NODE:”” BIOS配置数据配置信息存储在注册表和 WMI 储备库中。注册表配置保存了有关架构的采用托管对象格式 (MOF) 编译的状态的时间戳和有效性。在 WMIC 的每一个会话开始时，将对此信息进行评估，当架构无效或已被一个用户更新时，WMIC 将更新 WMI 储备库。杂项WMIC 是一个功能强大的命令行工具，通过该工具，您可以很快地执行您有权限执行的任何任务。如果您不熟悉 WMI 环境，可以使用 /INTERACTIVE 开关为删除操作设置一个警告。例如：WMI /INTERACTIVE:ON 下列命令在任何时候都可以使用： CLASS 退出 WMIC 的默认别名模式并以 WMI 架构直接访问类。 PATH 退出 WMIC 的默认别名模式并以 WMI 架构直接访问实例。 CONTEXT 显示所有全局开关的当前值。 QUIT 退出 WMIC。 EXIT 退出 WMIC WMIC在批处理的应用实例(转) 第一次使用WMI会自动安装，等待数秒即可正常使用。 wmic 获取硬盘固定分区盘符:for /f “skip=1 %i in (wmic logicaldisk where “drivetype=3 get name) do echo %i简要说明:wmic + 欲操作的对象名+ where 从句(这是筛选条件)+ get + 对象的属性这样的格式已经可以帮助我们获取很多东西了，大家可以具体参考查看wmic对象： wmic /?查看wmic对象有何可用属性: wmic 对象名称 get /? 例如 wmic process get /?查看wmic对象某个属性的值: wmic 对象名称 get 对象某个属性 例如 wmic process get nameps: 以上例子中的drivetype的值为2 表示可移动磁盘或软盘，值为3表示固定磁盘，值为5表示光驱。wmic 获取进程名称、可执行路径、删除、创建指定进程:wmic 获取进程名称以及可执行路径:wmic process get name,executablepath wmic 删除指定进程(根据进程名称):wmic process where name=”qq.exe” call terminate或者用wmic process where name=”qq.exe” delete wmic 删除指定进程(根据进程PID):wmic process where pid=”123 delete wmic 创建新进程wmic process call create “C:Program FilesTencentQQQQ.exe” 其实都很容易上手的，大家多用用就会熟悉这种模式了详细信息用 wmic process get /? 查看所有可用的属性 wmic 操作远程计算机上的程序 在远程机器上创建新进程：（2003系统）wmic /node:0 /user:administrator /password:123456 process call create cmd.exe 关闭本地计算机wmic process call create shutdown.exe 重启远程计算机 （2003系统）wmic /node:0/user:administrator /password:123456 process call create “shutdown.exe -r -f -m” wmic 操作计算机名称和用户帐户更改计算机名称wmic computersystem where “caption=%ComputerName%” call rename newcomputername 更改帐户名wmic USERACCOUNT where “name=%UserName%” call rename newUserNamewmic 结束可疑进程（根据进程的启动路径）wmic process where “name=explorer.exe and executablepathC:WINDOWSwindowsexplorer.exe” delete wmic 获取物理内存/system/20090430/wmic-command/wmic memlogical get TotalPhysicalMemory|find /i /v “t” wmic 获取文件的创建、访问、修改时间 (tvzml纠正)echo offfor /f “skip=1 tokens=1,3,5 delims=. ” %a in (wmic datafile where name=”C:WINDOWSNOTEPAD.EXE” get