遠程線程注入

在一個進程中，調用CreateThread或CreateRemoteThreadEx函數，在另一個進程內創建一個線程（因為不在同一個進程中，所以叫做遠程線程）。創建的線程一般為Windows API函數LoadLibrary，來加載一個動態鏈接庫(DLL)，從而達到在另一個進程中運行自己所希望運行的代碼的目的。

注入的動態鏈接庫，通常為惡意代碼，例如木馬或病毒。（當然，注入的也可以是善意代碼，例如調試器，也是利用遠程線程注入技術，來調試程序。）

通過遠程線程注入，來使得木馬運行在目標進程中，隨意訪問目標進程的內存空間，最後這個動態鏈接庫裏的代碼就成為其他進程的一部分來實現了自身的隱藏執行，通過調用“hook”機制，監視用户的輸入輸出操作，截取有用的資料等操作。這種木馬的實際執行體是一個dll文件，由於Windows系統自身就包含着大量的dll文件，誰也無法一眼看出哪個dll文件不是系統自帶的，所以這種木馬的隱蔽性又提高了一級，而且它的執行方式也更加隱蔽，這是由Windows系統自身特性決定的，Windows自身就是大量使用dll的系統，許多dll文件在啓動時便被相關的應用程序加載進內存裏執行了，可是有誰在進程裏直接看到過某個dll在運行的?因為系統是把dll視為一種模塊性質的執行體來調用的，它內部只包含了一堆以函數形式輸出的模塊，也就是説每個dll都需要由一個用到它的某個函數的exe來加載，當dll裏的函數執行完畢後就會返回一個運行結果給調用它的exe，然後dll進程退出內存結束這次執行過程，這就是標準的dll運行週期，而採用了“線程注射”技術的dll則不是這樣，它們自身雖然也是導出函數，但是它們的代碼是具備執行邏輯的，這種模塊就像一個普通exe，只是它不能直接由自身啓動，而是需要有一個特殊作用的程序(稱為加載者)產生的進程把這個dll的主體函數載入內存中執行，從而讓它成為一個運行中的木馬程序。 ^[1] 

wmiprvse.exe是微軟Windows操作系統的一部分。用於通過WinMgmt.exe程序處理WMI操作。這個程序對計算機系統的正常運行是非常重要的。

文件描述

進程文件： wmiprvse or wmiprvse.exe

進程名稱： Microsoft Windows Management Instrumentation

出品者： Microsoft

屬於： Microsoft Windows Operating System

系統進程： 是

後台程序： 是

使用網絡： 否

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

安全等級 (0-5): 0

間諜軟件： 否

Adware: 否

病毒： 否

木馬： 否

Windows ® Management Instrumentation (WMI) is a component of the Microsoft ® Windows ® operating system that provides management information and control in an enterprise environment. By using industry standards, managers can use WMI to query and set information on desktop systems, applications, networks, and other enterprise components. Developers can use WMI to create event monitoring applications that alert users when important incidents occur.

In earlier versions of Windows, providers were loaded in-process with the Windows Management service (WinMgmt.exe), running under the LocalSystem security account. Failure of a provider caused the entire WMI service to fail. The next request to WMI restarted the service.

Beginning with Windows XP, WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. Multiple instances of Wmiprvse.exe can run at the same time under different accounts: LocalSystem, NetworkService, or LocalService. The WMI core WinMgmt.exe is loaded into the shared Local Service host named Svchost.exe.

Note: wmiprvsw.exe is the Sasser worm!

Note: The wmiprvse.exe file is located in the C:\WINDOWS\System32\Wbem folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.

Virus with same name:

W32/Sonebot-B - sophos.c0m

ntsd殺不死的進程（分大小寫）:WMIPRVSE.EXE

文件位置：

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\dllcache\wmiprvse.exe

以下是翻譯：

Windows管理規範(WMI) 是Microsoft Windows操作系統的組成部分，它提供管理信息和企業環境中的控制功能。通過使用業界標準, 管理者能使用WMI 詢問和設置關於桌面系統、應用、網絡, 和其它企業組分的信息。開發者可以使用WMI 創建事件監測程序，在重要意外發生時警告用户。

在Windows的更加早期的版本, （消息）提供程序被加載在窗口管理服務(WinMgmt.exe)的進程中, 運行在LocalSystem 安全帳户之下。（消息）提供程序的崩潰導致整個WMI 服務崩潰。下一個對WMI 的請求重建服務。

從Windows XP開始, WMI 存在於一個共有的服務主程序以幾個其它服務下。為了在（消息）提供程序崩潰時避免停止整個服務, （消息）提供程序被裝載入一個被命名為Wmiprvse.exe的獨立宿主進程。Wmiprvse.exe 多個實例可能同時運行在不同的帳户之下: LocalSystem 、NetworkService, 或LocalService 。WMI 核心WinMgmt.exe 被裝載入共享的名為Svchost.exe的Local Service（本地服務）。

注: wmiprvsw.exe 是Sasser 蠕蟲!

注: wmiprvse.exe 文件尋找，正常的應該在C:\WINDOWS\System32\Wbem 文件夾。如果在其它文件, wmiprvse.exe 就是病毒、spyware 、特洛伊木馬或蠕蟲! 使用任務管理器檢查這個項目。

註釋: wmiprvse.exe 是存放在 C:\Windows\System32 下的子目錄 - 正常是 C:\WINDOWS\System32\wbem\。已知的 Windows XP 文件大小為 218,112 字節 (佔總出現比率 88% )，245,248 字節，203,776 字節，207,872 字節，203,264 字節，206,336 字節，225,280 字節，229,376 字節，226,304 字節。

如何禁止Wmiprvse.exe進程

1.在CMD中運行

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /v debugger /t reg_sz /d debugfile.exe /f

重新啓用Wmiprvse.exe 進程方法方法：

在CMD中運行

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f

2.解決方法：

wmiprvse.exe是一個系統服務的進程，你可以結束任務，進程自然消失。

禁用Windows Management Instrumentation Driver Extensions服務或者改為手動

具體：桌面-我的電腦-管理-服務和應用程序-服務 裏面有個Windows Management Instrumentation 右鍵—禁用就可以了.

個人用過後感覺第二種方法較好。

解除命令方法：同樣操作複製下邊的命[1][2][3]令粘貼輸入，回車確定。即可、

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f