Introdcution à WMI

Présentation

S'informer avec WMIC

liste des alias :

Exemples simples et concrets d'utilisation

---

Présentation

L'utilitaire WMIC (Windows Management Instrumentation "Command-Line") simplifie l'utilisation de l'outil WMI (Windows Management Instrumentation)
Cette plate-forme logicielle se manipule grâce à des Alias (wmic /?)

WMIC est basé sur l'architecture de windows.
Cet outil est fourni avec Windows XP Pro et pour l'installer il suffit de taper la commande wmic.
Cet outil, bien qu'un peu complexe, ne manque pas d'intérêt. Tout d'abord il est en mode texte, donc facilite la prise en main à distance, et surtout, lancé de XP Pro, il permet d'agir sur TOUS les systèmes dos et windows. Donc un excellent outil d'investigation ou de gestion de parc.
Sous WMIC le prompt affiche : wmic:root\cli>
pour en sortir il faut utiliser la commande Quit

---

S'informer avec WMIC

wmic BIOS GET /VALUE
wmic CPU GET addresswidth, caption, datawidth

Afficher QUE les informations concernant le processus Cmd.exe
Process where (Name="cmd.exe") GET /value
Process where (Name="cmd.exe") LIST Breif

Lister tous les processus dont le nom contient la chaîne de caractères "host"

PROCESS where "name like '%host%'"

Lister tous les processus dont l'utilisation de la mémoire dépasse les 15 000 Ko

PROCESS where (WorkingSetSize>15000000) LIST BRIEF

Sur DES PROCESSUS

Pour ouvrir un processus :
wmic PROCESS CALL CREATE calc.exe
ou
wmic PROCESS CALL CREATE notepad.exe

Pour fermer un processus :
wmic PROCESS where (Name="notepad.exe") DELETE
ou
wmic PROCESS where Name="calc.exe" CALL TERMINATE

Sur DES FICHIERS

wmic DATAFILE "%SYSTEMDRIVE%\\Windows\\Repair\\Setup.log" CALL COPY "%SYSTEMDRIVE%\\setup.log"
wmic DATAFILE "%SYSTEMDRIVE%\\setup.log"
Wmic DATAFILE WHERE "Drive="C:" AND Path='\\Windows\\inf\\' AND Extension='inf' AND FileSize>100000" GET /VALUE

exemple :

Lister tous les processus et rediriger la sortie vers un fichier .txt
wmic /output:C:\Sortie.txt Process get Caption,Commandline,Processid

WMIC OS GET /VALUE
WMIC CSProduct GET /VALUE
WMIC BIOS GET /VALUE

WMIC /OUTPUT:ergebnis.htm PATH CIM_PhysicalElement GET /FORMAT:hform

WMIC CPU GET /VALUE
WMIC SystemSlot WHERE "SlotDesignation LIKE '%PCI%'" GET /VALUE
WMIC MemoryChip GET /VALUE

WMIC ComputerSystem GET /VALUE

WMIC ComputerSystem GET Domain, PartofDomain /VALUE

WMIC NIC GET /VALUE
WMIC NIC GET Name, MACAddress /VALUE

WMIC NIC WHERE DeviceID!=NULL GET Index, NetConnectionID, Name
WMIC NIC WHERE DeviceID=1 GET /VALUE

WMIC NICConfig GET /VALUE
WMIC NICConfig CALL /?

WMIC NICConfig 1 CALL EnableDHCP

WMIC NICConfig 1 CALL EnableStatic 192.168.100.2,255.255.255.0
WMIC NICConfig 1 CALL SetGateways 192.168.100.1
WMIC NICConfig 1 CALL SetDNSDomain contoso.com
WMIC NICConfig 1 CALL SetDNSServerSearchOrder 192.168.100.1

WMIC ComputerSystem WHERE name!=NULL CALL JoinDomainOrWorkgroup "", 3, "contoso.com", "Passw0rd", "CONTOSO\Administrator"

WMIC OS WHERE Primary=TRUE CALL Reboot

WMIC DataFile "c:\\boot.ini" GET /VALUE

WMIC DataFile WHERE "Drive='C:' AND Path='\\Windows\\inf\\' AND Extension='inf' AND FileSize>100000" GET /VALUE

WMIC FSDir WHERE "Drive='C:' AND Path='\\Windows\\'" GET CSName, EightDotThreeFileName

WMIC DataFile "c:\\boot.ini" CALL copy "c:\\boot.ini.bak"
WMIC DataFile "c:\\boot.ini.bak" CALL Compress
WMIC DataFile "c:\\boot.ini.bak" CALL UnCompress
WMIC DataFile "c:\\boot.ini.bak" CALL Delete

WMIC CDROM GET /VALUE
WMIC CDRom GET MediaLoaded, VolumeName
WMIC DiskDrive GET /VALUE
WMIC LogicalDisc GET /VALUE
WMIC LogicalDisk GET Name, Description, VolumeSerialNumber, FileSystem, FreeSpace /VALUE
WMIC LogicalDisc CALL /VALUE
WMIC Volume GET /VALUE
WMIC Partition GET /VALUE

WMIC LogicalDisk WHERE "Name='C:'" CALL Chkdsk
WMIC QuotaSetting GET /VALUE
WMIC DiskQuota GET /VALUE
WMIC DiskQuota SET /?

WMIC Printer GET /VALUE
WMIC PrinterConfig GET /VALUE
WMIC PrintJob GET /VALUE

WMIC /OUTPUT:ergebnis.htm Process GET /FORMAT:hform
WMIC Process CALL Create "calc.exe"
WMIC Process WHERE Name="calc.exe" setpriority 128
WMIC Process WHERE Name="calc.exe" CALL Terminate 0

WMIC /OUTPUT:ergebnis.htm Service GET /FORMAT:hform
WMIC Service "Alerter" CALL ChangeStartMode Manual
WMIC Service "Alerter" CALL StartService
WMIC Service "Alerter" CALL StopService
WMIC Service "Alerter" CALL ChangeStartMode Disabled

affiche les processus actifs d'un ordinateur

/node :[NameComputerWorkGroup] Process GET

J'ai créé un batch basé sur wmic et ses commandes d'investigation.
Ce programme n'est cependant pas fini du tout, mais si le coeur vous en dit, vous avez ici toutes les billes pour l'achever.
Le squelette est fait, il reste à compléter la liste des commandes de recherche, et aussi à proposer le choix d'investiguer sur le pc en local (comme c'est le cas) ou sur une machine distante.
investig.bat

---

liste des alias :

Ceci est la liste de base, elle est succinte et loin d'être complète.
Vous trouverez dans ce document une liste impressionnante d'alias wmic.

BASEBOARD - Gestion de la carte de base (Carte mère).
BIOS - Gestion des services d'entrées/sorties (E/S) de base (BIOS).
BOOTCONFIG - Gestion de la configuration du démarrage.
CDROM - Gestion des CD-ROM.
COMPUTERSYSTEM - Gestion de systèmes informatiques.
CPU - Gestion de l'unité centrale.
DATAFILE - Gestion des fichiers de données.
DCOMAPP - Gestion d'applications.
DESKTOP - Gestion du Bureau de l'utilisateur.
DESKTOPMONITOR - Gestion du moniteur de bureau.
DEVICEMEMORYADDRESS - Gestion des adresses mémoire pour périphériques.
DISKDRIVE - Gestion des disques durs physiques.
DISKQUOTA - Gestion de l'utilisation de l'espace disque sur les volumes NTFS.
DMACHANNEL - Gestion du canal DMA (Accès direct à la mémoire).
ENVIRONMENT - Gestion des paramètres d'environnement système.
FSDIR - Gestion des entrées de répertoires du système de fichiers.
GROUP - Gestion des comptes de groupes.
IDECONTROLLER - Gestion de contrôleurs IDE.
IRQ - Gestion des requêtes d'interruption (IRQ).
LOADORDER - Gestion des services système définissant les dépendances d'exécution.
LOGICALDISK - Gestion des périphériques de stockage locaux.
MEMCACHE - Gestion de la mémoire cache.
MEMLOGICAL - Gestion de la mémoire système (configuration, disposition et disponibilité de la mémoire).
MEMPHYSICAL - Gestion de la mémoire physique d'un ordinateur.
NETCLIENT - Gestion des clients réseau.
NETLOGIN - Gestion des informations d'ouverture de session réseau (d'un utilisateur précis).
NETPROTOCOL - Gestion des protocoles et de leurs caractéristiques réseau.
NETUSE - Gestion des connexion réseau actives.
NIC - Gestion des contrôleurs réseau NIC (Network Interface Controller).
NICCONFIG - Gestion des cartes réseau.
NTDOMAIN - Gestion de l'arborescence du domaine.
NTEVENTLOG - Gestion du fichier journal d'événements NT.
ONBOARDDEVICE - Gestion des périphériques carte communs intégrés dans la carte mère.
OS - Gestion des systèmes d'exploitation installés.
PAGEFILE - Gestion des paramètres du fichier d'échange de mémoire virtuelle.
PAGEFILESET - Gestion des paramètres de fichier d'échange.
PARTITION - Gestion des zones partitionnées d'un disque physique.
PORT - Gestion des ports d'E/S.
PORTCONNECTOR - Gestion des ports de connexion physique.
PRINTER - Gestion des périphériques d'impression.
PRINTERCONFIG - Gestion de la configuration des périphériques d'impression.
PRINTJOB - Gestion des tâches d'impression.
PROCESS - Gestion des processus.
PRODUCT - Gestion des tâches des packages d'installation.
QUOTASETTING - Gestion des informations de quotas de disque sur un volume.
REGISTRY - Gestion du Registre système.
SCSICONTROLLER - Gestion de contrôleurs SCSI.
SERVER - Gestion des informations sur le serveur.
SERVICE - Gestion des applications de services.
SHARE - Gestion des ressources partagées.
SOFTWAREELEMENT - Gestion des éléments d'un logiciel installé sur un ordinateur.
SOFTWAREFEATURE - Gestion des logiciels sous-ensembles de SoftwareElement.
SOUNDDEV - Gestion des périphériques audio.
STARTUP - Gestion des commandes qui s'exécutent dès que l'utilisateur ouvre une session sur l'ordinateur.
SYSACCOUNT - Gestion des comptes système.
SYSDRIVER - Gestion du pilote système pour un service de base.
SYSTEMENCLOSURE - Gestion de la mise en armoire du système.
SYSTEMSLOT - Gestion de des points de connexion physiques : ports, connecteurs et périphériques, et points de connexion propriétaires.
TAPEDRIVE - Gestion de lecteurs de bandes.
TEMPERATURE - Gestion d'un capteur de température (thermomètre électronique).
TIMEZONE - Gestion des données de fuseau horaire.
UPS - Gestion de l'alimentation de secours (UPS).
VOLTAGE - Gestion des données de capteurs de tension (tensiomètre électronique).
WMISET - Gestion des paramètres opérationnels du service WMI.

CSPRODUCT - Informations sur l'ordinateur issues du SMBIOS.
JOB - Permet l'accès aux tâches planifiées à l'aide du service de planification.
LOGON - Sessions LOGON.
NTEVENT - Entrées dans le journal d'événements NT.
QFE - Ingénierie de correctifs à chaud.
RECOVEROS - Informations recueillies en mémoire en cas de dysfonctionnement du système d'exploitation.
USERACCOUNT - Auditer la gestion des comptes.
VOLUMEQUOTASETTING - Associe le paramètre de quota de disque à un volume précis.

---

Exemples simples et concrets d'utilisation

utiliser internet explorer ou mozilla :

voici la ligne pour ouvrir internet explorer sur ogame

D:\>wmic process call create "d:\\program files\\internet explorer\\iexplore.exe www.ogame.fr"

Pour lancer 3 onglets (pour ceux qui ont 3 comptes sur Ogame)avec firefox
wmic process call create "d:\\program files\\mozilla firefox\\firefox.exe www.ogame.fr www.ogame.fr www.ogame.fr"