事件記錄接聽程式驗證

攻擊指標安裝指令碼可在電腦的記憶體中設定事件觀察程式和 Windows Management Instrumentation (WMI) 生產者/消費者。WMI 是一個 Windows 元件，可為您提供有關本機或遠端電腦系統狀態的資訊。

如要檢查 WMI 註冊是否正確：

• 在 PowerShell 中執行下列命令：

  複製

  Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

• 如果至少有一個消費者，您會獲得以下類型的輸出：

  複製

  > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""
  
  
  __GENUS                 : 2
  __CLASS                 : __FilterToConsumerBinding
  __SUPERCLASS            : __IndicationRelated
  __DYNASTY               : __SystemClass
  __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                            ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  __PROPERTY_COUNT        : 7
  __DERIVATION            : {__IndicationRelated, __SystemClass}
  __SERVER                : DC-999
  __NAMESPACE             : ROOT\subscription
  __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                            =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
  CreatorSID              : {1, 1, 0, 0...}
  DeliverSynchronously    : False
  DeliveryQoS             :
  Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
  MaintainSecurityContext : False
  SlowDownProviders       : False
  PSComputerName          : DC-999
  

  • 如果沒有已註冊的 WMI 消費者，則此命令不返回任何內容。

  • 這是在 WMI 的 DC 上執行處理程序的先決條件。