Die folgenden Beispiele zeigen, wie tief man in den eigenen und in fremde PCs eindringen kann und welche Informationen man dort herausholt:
WMIC STARTUP GET Caption, Command, Location /FORMAT:textvaluelist
Zeigt eine Liste aller Programme, die beim Einloggen gestartet werden. So kann man sich nerviger „Updater“, „Quickstarter“ und anderer sinnloser Tools am besten entledigen. Es ist sofort erkennbar, ob das entsprechende Programm über den Benutzer- oder System-Autostart-Ordner beziehungsweise über die Registry gestartet wurde, siehe Bild 5.
WMIC MEMORYCHIP GET BankLabel, Capacity, DeviceLocator, Speed, DataWidth, TotalWidth
Bringt die im System installierten Hauptspeichermodule auf den Bildschirm. Diesen Befehl führen Administratoren gerne unbemerkt remote auf Arbeitsplatz-PCs aus. So kann man leicht feststellen, ob ein Mitarbeiter RAM-Module „zu Testzwecken“ mit nach Hause genommen hat, siehe Bild 6.
WMIC LOGICALDISK GET DeviceID, Description, FileSystem, FreeSpace, Size
Zeigt alle logischen Laufwerke an, und wie viel freier Platz noch auf der jeweiligen Partition vorhanden ist.
WMIC PROCESS WHERE (Caption=“svchost.exe“) GET Caption, ExecutablePath
Listet alle Prozesse auf, die svchost.exe heißen und zeigt deren ausführbaren Pfad an. Das mag auf den ersten Blick unsinnig erscheinen, aber viele Viren verbergen sich in einer Datei mit dem Namen svchost.exe. Da Windows eine ganze Reihe Prozesse mit diesem Namen startet, fallen solche Schädlinge in der Standard-Ansicht des Taskmanagers nicht auf. Findet man auf diese Weise Dateien, die nicht im Verzeichnis C:WindowsSystem32 liegen, so hat man eine aktive Malware im System.
WMIC CPU GET Name, CurrentClockSpeed, ExtClock (bis Windows XP) beziehungsweise WMIC CPU GET Name, CurrentClockSpeed, ExtClock, NumberOfCores, NumberOfLogicalProcessors (Vista und höher)
Zeigt Informationen über den Prozessor an. Bis einschließlich Windows XP wird eine Multi-Core-CPU als mehre Single-Core-CPU gelistet. Ab Windows Vista werden physische Prozessorpackages aufgezählt und die Anzahl der Cores und Threads ausgegeben.
WMIC NICCONFIG WHERE (IPEnabled=TRUE) GET InterfaceIndex, Description, DefaultIPGateway, DNSServerSearchOrder, IPAddress, MACAddress, IPSubnet, DHCPServer /FORMAT:textvaluelist
Zeigt einige Parameter über die Netzwerkkarten an, ähnlich dem bekannten Befehl ipconfig /all. Die Bedingung WHERE (IPEnabled=True) führt dazu, dass nur Interfaces aufgelistet werden, die derzeit eine gültige IP-Adresse besitzen. Lässt man sie weg, werden alle angezeigt. Da Windows eine Reihe von virtuellen Adaptern installiert, etwa für IPv6-Tunnelung, kann die Liste jedoch recht lang werden.
Das sind nur wenige Beispiele von Queries, die man sowohl vom eigenen als auch von anderen Rechnern abfragen kann. Eine Auflistung aller abfragbaren Win32-Klassen findet man in der MSDN-Dokumentation.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…