WMI Provider auflisten


Ich glaub das Thema WMI Windows Management Instrumentation, eigentlich uralt und gibt es seit Win9x, wird uns die nächsten Jahre noch ziemlich beschäftigen.

Um einen Überblick bei WMI zu bekommen, muss man zunächst die Namespaces und WMI-Provider kennen. Erst daraus kann man dann das große Bild zusammenbauen.

Hier ein einfaches GIST zum Ermitteln der Namespaces und Provider mittels Powershell von Matt Graeber:

https://gist.github.com/mattifestation/2727b6274e4024fd2481

Als Ergebnis bekommt man z. B. diese Auflistung:

Namespace    : ROOT\subscription
ProviderName : LogFileEventConsumer

Namespace    : ROOT\subscription
ProviderName : ActiveScriptEventConsumer

Namespace    : ROOT\subscription
ProviderName : NTEventLogEventConsumer

Namespace    : ROOT\subscription
ProviderName : SMTPEventConsumer

Namespace    : ROOT\subscription
ProviderName : CommandLineEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : RegPropProv

Namespace    : ROOT\DEFAULT
ProviderName : RegProv

Namespace    : ROOT\DEFAULT
ProviderName : LogFileEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : ActiveScriptEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : RegistryEventProvider

Namespace    : ROOT\DEFAULT
ProviderName : NTEventLogEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : SMTPEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : SystemRestoreProv

Namespace    : ROOT\DEFAULT
ProviderName : CommandLineEventConsumer

Namespace    : ROOT\DEFAULT
ProviderName : IntelWLANEventProvider

Namespace    : ROOT\CIMV2
ProviderName : ProviderSubSystem

Namespace    : ROOT\CIMV2
ProviderName : SppProvider

Namespace    : ROOT\CIMV2
ProviderName : Msft_ProviderSubSystem

Namespace    : ROOT\CIMV2
ProviderName : Win32_OfflineFilesConfigurationProvider

Namespace    : ROOT\CIMV2
ProviderName : MS_NT_EVENTLOG_EVENT_PROVIDER

Namespace    : ROOT\CIMV2
ProviderName : MS_Power_Management_Event_Provider

Namespace    : ROOT\CIMV2
ProviderName : RegPropProv

Namespace    : ROOT\CIMV2
ProviderName : Win32_WinSAT

Namespace    : ROOT\CIMV2
ProviderName : InvProv

Namespace    : ROOT\CIMV2
ProviderName : ReliabilityMetricsProvider

Namespace    : ROOT\CIMV2
ProviderName : WmiPerfInst

Namespace    : ROOT\CIMV2
ProviderName : RegProv

Namespace    : ROOT\CIMV2
ProviderName : UserProfileConfigurationProvider

Namespace    : ROOT\CIMV2
ProviderName : MS_NT_EVENTLOG_PROVIDER

Namespace    : ROOT\CIMV2
ProviderName : WmiPerfClass

Namespace    : ROOT\CIMV2
ProviderName : VolumeChangeEvents

Namespace    : ROOT\CIMV2
ProviderName : Standard Non-COM Event Provider

Namespace    : ROOT\CIMV2
ProviderName : MSVSS__PROVIDER

Namespace    : ROOT\CIMV2
ProviderName : Win32_OfflineFilesProvider

Namespace    : ROOT\CIMV2
ProviderName : WMIPingProvider

Namespace    : ROOT\CIMV2
ProviderName : WMI Self-Instrumentation Event Provider

Namespace    : ROOT\CIMV2
ProviderName : RegistryEventProvider

Namespace    : ROOT\CIMV2
ProviderName : Cimwin32A

Namespace    : ROOT\CIMV2
ProviderName : NamedJobObjectLimitSettingProv

Namespace    : ROOT\CIMV2
ProviderName : RouteProvider

Namespace    : ROOT\CIMV2
ProviderName : SCM Event Provider

Namespace    : ROOT\CIMV2
ProviderName : WhqlProvider

Namespace    : ROOT\CIMV2
ProviderName : DFSProvider

Namespace    : ROOT\CIMV2
ProviderName : MS_Shutdown_Event_Provider

Namespace    : ROOT\CIMV2
ProviderName : CIMWin32

Namespace    : ROOT\CIMV2
ProviderName : NamedJobObjectActgInfoProv

Namespace    : ROOT\CIMV2
ProviderName : WBEMCORE

Namespace    : ROOT\CIMV2
ProviderName : RouteEventProvider

Namespace    : ROOT\CIMV2
ProviderName : MSVDS__PROVIDER

Namespace    : ROOT\CIMV2
ProviderName : NamedJobObjectSecLimitSettingProv

Namespace    : ROOT\CIMV2
ProviderName : UserProfileProvider

Namespace    : ROOT\CIMV2
ProviderName : MSIProv

Namespace    : ROOT\CIMV2
ProviderName : Win32_WIN32_TERMINALSERVICE_Prov

Namespace    : ROOT\CIMV2
ProviderName : Win32_UserStateConfigurationProvider

Namespace    : ROOT\CIMV2
ProviderName : SessionProvider

Namespace    : ROOT\CIMV2
ProviderName : NamedJobObjectProv

Namespace    : ROOT\CIMV2
ProviderName : WMI Kernel Trace Event Provider

Namespace    : ROOT\CIMV2
ProviderName : SECRCW32

Namespace    : ROOT\CIMV2
ProviderName : SystemConfigurationChangeEvents

Namespace    : ROOT\CIMV2
ProviderName : Win32_FolderRedirectionConfiguration

Namespace    : ROOT\CIMV2
ProviderName : DskQuotaProvider

Namespace    : ROOT\CIMV2
ProviderName : Win32ClockProvider

Namespace    : ROOT\CIMV2\mdm
ProviderName : MDMAppProv

Namespace    : ROOT\CIMV2\mdm
ProviderName : MDMSettingsProv

Namespace    : ROOT\CIMV2\mdm\dmmap
ProviderName : DMWmiBridgeProv

Namespace    : ROOT\CIMV2\Security\MicrosoftTpm
ProviderName : Win32_TpmProvider

Namespace    : ROOT\CIMV2\Security\MicrosoftVolumeEncryption
ProviderName : Win32_EncryptableVolumeProvider

Namespace    : ROOT\CIMV2\power
ProviderName : PowerMeterProvider

Namespace    : ROOT\CIMV2\power
ProviderName : ProfileAssociationProviderCimV2

Namespace    : ROOT\CIMV2\power
ProviderName : PowerWmiProvider

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSLOGONSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSREMOTECONTROLSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TERMINAL_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSACCOUNT_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSSESSIONSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSNETWORKADAPTERLISTSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSGENERALSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSENVIRONMENTSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSVIRTUALIP_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TERMINALSERVICESETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TERMINALSERVICETOSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TERMINALTERMINALSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSPERMISSIONSSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSNETWORKADAPTERSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSVIRTUALIPSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSSESSIONDIRECTORY_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSCLIENTSETTING_Prov

Namespace    : ROOT\CIMV2\TerminalServices
ProviderName : Win32_WIN32_TSSESSIONDIRECTORYSETTING_Prov

Namespace    : ROOT\CIMV2\Applications\WindowsParentalControls
ProviderName : WpcClamperProv

Namespace    : ROOT\CIMV2\Applications\WindowsParentalControls
ProviderName : WpcWebSyncProv

Namespace    : ROOT\CIMV2\Applications\WindowsParentalControls
ProviderName : WpcSProv

Namespace    : ROOT\CIMV2\Applications\WindowsParentalControls\Secured
ProviderName : WpcWebSyncProvSecured

Namespace    : ROOT\CIMV2\Applications\Games
ProviderName : MS_InstalledGameProv

Namespace    : ROOT\msdtc
ProviderName : MsDtcWmi

Namespace    : ROOT\msdtc
ProviderName : MsDtcWmi_EventProvider

Namespace    : ROOT\Intel_ME
ProviderName : IntelMEProv

Namespace    : ROOT\HyperVCluster\v2
ProviderName : VmmsWmiEventProvider

Namespace    : ROOT\HyperVCluster\v2
ProviderName : VmmsWmiInstanceAndMethodProvider

Namespace    : ROOT\RSOP
ProviderName : Rsop Logging Mode Provider

Namespace    : ROOT\RSOP
ProviderName : Rsop Planning Mode Provider

Namespace    : ROOT\PEH
ProviderName : MINT

Namespace    : ROOT\StandardCimv2
ProviderName : NetEventPacketCapture

Namespace    : ROOT\StandardCimv2
ProviderName : MSFT_Printer

Namespace    : ROOT\StandardCimv2
ProviderName : NetTtCim

Namespace    : ROOT\StandardCimv2
ProviderName : MsNetImPlatform

Namespace    : ROOT\StandardCimv2
ProviderName : NetDaCim

Namespace    : ROOT\StandardCimv2
ProviderName : NlmCim

Namespace    : ROOT\StandardCimv2
ProviderName : netnat

Namespace    : ROOT\StandardCimv2
ProviderName : wfascim

Namespace    : ROOT\StandardCimv2
ProviderName : NetSwitchTeam

Namespace    : ROOT\StandardCimv2
ProviderName : NetWnv

Namespace    : ROOT\StandardCimv2
ProviderName : NetAdapterCim

Namespace    : ROOT\StandardCimv2
ProviderName : dnsclientcim

Namespace    : ROOT\StandardCimv2
ProviderName : NetQosCim

Namespace    : ROOT\StandardCimv2
ProviderName : nettcpip

Namespace    : ROOT\StandardCimv2
ProviderName : NetPeerDist

Namespace    : ROOT\StandardCimv2
ProviderName : NetNcCim

Namespace    : ROOT\StandardCimv2\embedded
ProviderName : AssignedAccess

Namespace    : ROOT\WMI
ProviderName : BcdProv

Namespace    : ROOT\WMI
ProviderName : WMIEventProv

Namespace    : ROOT\WMI
ProviderName : MSiSCSIInitiatorProvider

Namespace    : ROOT\WMI
ProviderName : HiPerfCooker_v1

Namespace    : ROOT\WMI
ProviderName : WMIProv

Namespace    : ROOT\directory\LDAP
ProviderName : Microsoft|DSLDAPClassAssociationsProvider|V1.0

Namespace    : ROOT\directory\LDAP
ProviderName : Microsoft|DSLDAPInstanceProvider|V1.0

Namespace    : ROOT\directory\LDAP
ProviderName : Microsoft|DSLDAPClassProvider|V1.0

Namespace    : ROOT\Policy
ProviderName : PolicSOM

Namespace    : ROOT\Policy
ProviderName : PolicStatus

Namespace    : ROOT\virtualization\v2
ProviderName : VmmsWmiEventProvider

Namespace    : ROOT\virtualization\v2
ProviderName : VmmsWmiInstanceAndMethodProvider

Namespace    : ROOT\Interop
ProviderName : ProfileAssociationProviderInterop

Namespace    : ROOT\Hardware
ProviderName : IPMIPrv

Namespace    : ROOT\ServiceModel
ProviderName : ServiceModel

Namespace    : ROOT\Microsoft\protectionManagement
ProviderName : ProtectionManagement

Namespace    : ROOT\Microsoft\Windows\RemoteAccess\Client
ProviderName : VpnClientPSProvider

Namespace    : ROOT\Microsoft\Windows\Dns
ProviderName : DnsClientPSProvider

Namespace    : ROOT\Microsoft\Windows\Powershellv3
ProviderName : DiscoveryProvider

Namespace    : ROOT\Microsoft\Windows\TaskScheduler
ProviderName : ScheduledTaskProv

Namespace    : ROOT\Microsoft\Windows\DesiredStateConfigurationProxy
ProviderName : dscproxy

Namespace    : ROOT\Microsoft\Windows\SmbWitness
ProviderName : SmbWitnessWmiv2provider

Namespace    : ROOT\Microsoft\Windows\Wdac
ProviderName : WdacWmiProv

Namespace    : ROOT\Microsoft\Windows\winrm
ProviderName : WsmAgent

Namespace    : ROOT\Microsoft\Windows\AppBackgroundTask
ProviderName : appbackgroundtask

Namespace    : ROOT\Microsoft\Windows\PS_MMAgent
ProviderName : PS_MMAgent

Namespace    : ROOT\Microsoft\Windows\Storage
ProviderName : iSCSIWMIv2

Namespace    : ROOT\Microsoft\Windows\Storage
ProviderName : StorageWMI

Namespace    : ROOT\Microsoft\Windows\Storage\PT
ProviderName : DelegatorProvider

Namespace    : ROOT\Microsoft\Windows\Storage\PT\Alt
ProviderName : DelegatorProvider

Namespace    : ROOT\Microsoft\Windows\Storage\providers_v2
ProviderName : wsp_sr

Namespace    : ROOT\Microsoft\Windows\Storage\providers_v2
ProviderName : mispace

Namespace    : ROOT\Microsoft\Windows\Storage\providers_v2
ProviderName : wsp_fs

Namespace    : ROOT\Microsoft\Windows\Storage\providers_v2
ProviderName : wsp_health

Namespace    : ROOT\Microsoft\Windows\HardwareManagement
ProviderName : MSFT_PCSVDevice

Namespace    : ROOT\Microsoft\Windows\SMB
ProviderName : smbwmiv2

Namespace    : ROOT\Microsoft\Windows\EventTracingManagement
ProviderName : EventTracingManagement

Namespace    : ROOT\Microsoft\Windows\DesiredStateConfiguration
ProviderName : dsccore

Namespace    : ROOT\Microsoft\Windows\DesiredStateConfiguration
ProviderName : dsctimer

Namespace    : ROOT\Microsoft\Windows\DesiredStateConfiguration
ProviderName : DSCCoreProviders

Namespace    : ROOT\Microsoft\Windows\Defender
ProviderName : ProtectionManagement

Namespace    : ROOT\Microsoft\SecurityClient
ProviderName : AntimalwareMonitoringProvider

Namespace    : ROOT\Microsoft\SecurityClient
ProviderName : AntimalwareHealthStatusProv

Namespace    : ROOT\Microsoft\SecurityClient
ProviderName : AntimalwareInfectionStatusProv

Namespace    : ROOT\aspnet
ProviderName : DecoupledEventProvider

Viele WMI-Provider kommen direkt von Microsoft aber es gibt auch viele Provider von anderen Softwareherstellern. Hier eine Auflistung mit Beschreibungen der microsofteigenen Provider:

https://msdn.microsoft.com/en-us/library/bg126473(v=vs.85).aspx

Dort findet man so illustre Provider wie “Application Inventory Classes” wo vom Windows 10 Vorbereitungsupdate verwendet wird, um einen Überblick über die installierte Software zu bekommen. https://msdn.microsoft.com/en-us/library/dn894019(v=vs.85).aspx

Oder ProtectionManagement welches vom Defender-Powershell-Modul verwendet wird, um die Kommunikation mit dem Windowsdefender zu ermöglichen.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: