远程线程插入（注入）技术指的是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。

木马编写者首先把一个实际为木马主体的dll文件载入内存，然后通过“线程注射”技术将其注入其他进程的内存空间，最后这个dll里的代码就成为其他进程的一部分来实现了自身的隐藏执行，通过调用“hook”机制（

钩子(hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。)

这个dll木马便实现了监视用户的输入输出操作，截取有用的资料等操作。这种木马的实际执行体是一个dll文件，由于Windows系统自身就包含着大量的dll文件，谁也无法一眼看出哪个dll文件不是系统自带的，所以这种木马的隐蔽性又提高了一级，而且它的执行方式也更加隐蔽，这是由Windows系统自身特性决定的，Windows自身就是大量使用dll的系统，许多dll文件在启动时便被相关的应用程序加载进内存里执行了，可是有谁在进程里直接看到过某个dll在运行的?因为系统是把dll视为一种模块性质的执行体来调用的，它内部只包含了一堆以函数形式输出的模块，也就是说每个dll都需要由一个用到它的某个函数的exe来加载，当dll里的函数执行完毕后就会返回一个运行结果给调用它的exe，然后dll进程退出内存结束这次执行过程，这就是标准的dll运行周期，而采用了“线程注射”技术的dll则不是这样，它们自身虽然也是导出函数，但是它们的代码是具备执行逻辑的，这种模块就像一个普通exe，只是它不能直接由自身启动，而是需要有一个特殊作用的程序(称为加载者)产生的进程把这个dll的主体函数载入内存中执行，从而让它成为一个运行中的木马程序。

360安全卫士远程线程注入解决方案

wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对计算机系统的正常运行是非常重要的。

文件描述

进程文件： wmiprvse or wmiprvse.exe

进程名称： Microsoft Windows Management Instrumentation

出品者： Microsoft

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

Windows® Management Instrumentation (WMI) is a component of the Microsoft® Windows® operating system that provides management information and control in an enterprise environment. By using industry standards, managers can use WMI to query and set information on desktop systems, applications, networks, and other enterprise components. Developers can use WMI to create event monitoring applications that alert users when important incidents occur.

In earlier versions of Windows, providers were loaded in-process with the Windows Management service (WinMgmt.exe), running under the LocalSystem security account. Failure of a provider caused the entire WMI service to fail. The next request to WMI restarted the service.

Beginning with Windows XP, WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. Multiple instances of Wmiprvse.exe can run at the same time under different accounts: LocalSystem, NetworkService, or LocalService. The WMI core WinMgmt.exe is loaded into the shared Local Service host named Svchost.exe.

Note: wmiprvsw.exe is the Sasser worm!

Note: The wmiprvse.exe file is located in the C:\\WINDOWS\\System32\\Wbem folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.

Virus with same name:

W32/Sonebot-B - sophos.c0m

ntsd杀不死的进程（分大小写）:WMIPRVSE.EXE

文件位置：

C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe

C:\\WINDOWS\\system32\\dllcache\\wmiprvse.exe

以下是翻译：

Windows® 管理仪器工作(WMI) 是Microsoft® 的组分; Windows® 提供管理信息和控制在企业环境里的操作系统。由使用业界标准, 经理能使用WMI 询问和设置信息关于桌面系统、应用、网络, 和其它企业组分。开发商可能使用WMI 创造事件机敏的用户的监视应用当重要事件发生。

在窗口的更加早期的版本, 提供者是被装载的在过程以窗口管理服务(WinMgmt.exe), 运行在LocalSystem 证券帐户之下。提供者的失败导致整个WMI 服务失败。下个请求对WMI 重新开始了服务。

开始从Windows XP, WMI 居住在一个共有的服务主人以几其它服务。避免停止所有服务当提供者失败, 提供者被装载入一个分开的主人过程被命名Wmiprvse.exe 。Wmiprvse.exe 多个事例可能同时运行在不同的帐户之下: LocalSystem 、NetworkService, 或LocalService 。WMI 核心WinMgmt.exe 被装载入共有的地方服务主人被命名Svchost.exe 。

注: wmiprvsw.exe 是Sasser 蠕虫!

注: wmiprvse.exe 文件寻找，正常的应该在C:\\WINDOWS\\System32\\Wbem 文件夹。如果在其它文件, wmiprvse.exe 就是病毒、spyware 、特洛伊木马或蠕虫! 检查这与安全任务经理。

注释: wmiprvse.exe 是存放在 C:\\Windows\\System32 下的子目录 - 正常是 C:\\WINDOWS\\System32\\wbem\\。已知的 Windows XP 文件大小为 218,112 字节 (占总出现比率 88% )，245,248 字节，203,776 字节，207,872 字节，203,264 字节，206,336 字节，225,280 字节，229,376 字节，226,304 字节。

如何禁止Wmiprvse.exe进程

1.在CMD中运行

reg add “HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmiprvse.exe” /v debugger /t reg_sz /d debugfile.exe /f

重新启用Wmiprvse.exe 进程方法方法：

在CMD中运行

reg add “HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmiprvse.exe” /f

2.解决方法：

wmiprvse.exe是一个系统服务的进程，你可以结束任务，进程自然消失。

禁用Windows Management Instrumentation Driver Extensions服务或者改为手动

具体：桌面-我的电脑-管理-服务和应用程序-服务 里面有个Windows Management Instrumentation 右键—禁用就可以了.

个人用过后感觉第二种方法较好。

解除命令方法：同样操作复制下边的命[1][2][3]令粘贴输入，回车确定。即可、

reg add “HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmiprvse.exe” /f