WMITool（WMI Event Viewer）1.51官方版

来至微软官方的WMI tools工具，（可用于浏览器被高级恶意篡改劫持时删除恶意WMI脚本）

WMI工具包括：WMI CIM Studio：查看和编辑类，属性，限定词和在CIM储存库的实例;选定的运行方式;生成并编译MOF文件。 WMI对象浏览器：视图对象，编辑属性值和限定词和运行方法。

WMI Tools工具安装方法：

1. 环境设置

windowsXp以上系统自带wmi，对于一些比较老的系统需要安装wmi的程序包，可以在微软网站上下载相关程序包和WmiTools这个工具。

2. WMI Tools工具介绍

安装完成后，执行WMI CIM Studio后，会出现让你选择wmi命名空间的提示，默认为root/cimv，一路按Enter键就ok了。如图所示：

可以看到wmi的结构组织图就像注册表一样，是个树型结构，各个节点下面都有相应的属性节点和方法。点击上图的搜索按键，输入win32_Service后，就可以查询到wmi中关于服务的相关属性和方法了

Wmi Tools不仅是一个查询软件，还可以创建wmi实例，执行wql（类似于sql一样的wmi查询语句）。不过我们用的最多的还是它的查询功能，查询一些我们需要的属性和方法名。

WMI 是什么？

Windows 管理规范（Windows Management Instrumentation）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机。WMI 通过编程和脚本语言为日常管理提供了一条连续一致的途径。例如，用户可以：

在远程计算机器上启动一个进程。

设定一个在特定日期和时间运行的进程。

远程启动计算机。

获得本地或远程计算机的已安装程序列表。

查询本地或远程计算机的 Windows 事件日志。

WMI 中的“Instrumentation”特指 WMI 可以获得关于计算机内部状态的信息，这与汽车仪表盘获得并显示引擎的状态信息非常类似。WMI 对磁盘、进程、和其他 Windows 系统对象进行建模，从而实现“指示”功能。这些计算机系统对象采用类来建立模型，例如 Win32_LogicalDisk 或 Win32_Process； 如您所料，Win32_LogicalDisk 类用于建立在计算机上安装的逻辑磁盘的模型，Win32_Process 类用于建立正在计算机上运行的任何进程的模型。这些类基于一个名为通用信息模型（Common Information Model，CIM）的可扩展架构。CIM 架构是分布式管理任务组（Distributed Management Task Force）的一个公开标准( http://www.dmtf.org).

WMI 的功能还包括事件触发、远程调用、查询、查看、架构的用户扩展、指示等等。