Thiago Teixeira
EN | PT

WMIC

Microsoft

Linha de comando do WMI — consulta dados do host para resposta ao vivo.

Análise de Endpoint Nativo do SO CLI Em Estudo Windows
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O WMIC (wmic.exe) é a CLI legada para o Windows Management Instrumentation (WMI). Embora a Microsoft venha depreciando, ainda é comum em hosts e aparece em muitos cenários CySA+.

Também é um LOLBin muito abusado — atacantes usam WMI para movimento lateral, persistência (event subscriptions) e reconhecimento, então analistas precisam ler linhas de comando WMI em logs.

Substituto: PowerShell Get-CimInstance.

Casos de uso

  • Enumeração live de processos, serviços, discos
  • Detecção de persistência e lateral via WMI
  • Consultas remotas rápidas (WMIC /node:host)

Exemplo

wmic process list full /format:list
wmic service get name,startmode,pathname,startname
wmic /node:"WS-01" computersystem get model,manufacturer