# 注意精确查找、模糊查找查询条件语法
C:\WINDOWS\system32>wmic process where name="nginx.exe" get HandleCount,Name,Priority,ProcessId,ThreadCount,WorkingSetSize,CommandLine
CommandLine                             HandleCount  Name       Priority  ProcessId  ThreadCount  WorkingSetSize
"D:\services\nginx\nginx.exe"           170          nginx.exe  8         7952       1            5742592
"D:\services\nginx.exe"                 151          nginx.exe  8         8052       1            4849664
"D:\services\nginx.exe"                 156          nginx.exe  8         9020       3            5238784
"D:\services\nginx\nginx.exe"           179          nginx.exe  8         9204       3            5902336

C:\WINDOWS\system32>wmic process where "name like 'nginx%'" get HandleCount,Name,Priority,ProcessId,ThreadCount,WorkingSetSize,CommandLine

CommandLine                         HandleCount  Name                  Priority  ProcessId  ThreadCount  WorkingSetSize
"D:\services\nginx\nginx.exe"       170          nginx.exe             8         7952       1            5713920
"D:\services\nginx.exe"             151          nginx.exe             8         8052       1            4825088
"D:\services\nginx.exe"             156          nginx.exe             8         9020       3            5226496
"D:\services\nginx\nginx.exe"       179          nginx.exe             8         9204       3            5885952
C:\WINDOWS\system32>wmic process where name="nginx.exe" get  #   输出所有列

...
C:\WINDOWS\system32>wmic process get /?              # 查看支持的列

# 所有
C:\WINDOWS\system32>wmic product get name
# 仅安全类软件
C:\WINDOWS\system32>wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
displayName       pathToSignedProductExe                                             productState
电脑管家系统防护  C:\Program Files (x86)\Tencent\QQPCMgr\13.5.20513.228\QQPCMgr.exe  266240
Windows Defender  windowsdefender://                                                 393472

wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
wmic useraccount get Caption, InstallDate, LocalAccount, Domain, SID, Status

1.【硬件信息】：

# 获取磁盘资料：
wmic DISKDRIVE get deviceid,Caption,size,InterfaceType
# 获取分区资料：
wmic LOGICALDISK get name,Description,filesystem,size,freespace
# 获取CPU资料:
wmic cpu get name,addresswidth,processorid
# 获取主板资料:
wmic BaseBoard get Manufacturer,Product,Version,SerialNumber
# 获取内存数:
wmic memlogical get totalphysicalmemory
# 获得品牌机的序列号:
wmic csproduct get IdentifyingNumber
# 获取声卡资料:
wmic SOUNDDEV get ProductName
# 获取屏幕分辨率
wmic DESKTOPMONITOR where Status='ok' get ScreenHeight,ScreenWidth

2. PROCESS【进程管理】：

# 列出进程
wmic process list brief
(Full显示所有、Brief显示摘要、Instance显示实例、Status显示状态)

# wmic 获取进程路径: 
wmic process where name="jqs.exe" get executablepath

# wmic 创建新进程 
wmic process call create notepad
wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe" 
wmic process call create "shutdown.exe -r -f -t 20"

# wmic 删除指定进程: 
wmic process where name="qq.exe" call terminate 
wmic process where processid="2345" delete 
wmic process 2345 call terminate

# wmic 删除可疑进程
wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" delete
wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate

3. USERACCOUNT【账号管理】：

更改当前用户名 
WMIC USERACCOUNT where "name='%UserName%'" call rename newUserName 
WMIC USERACCOUNT create /?

4. SHARE【共享管理】：

建立共享
WMIC SHARE CALL Create "","test","3","TestShareName","","c:\test",0
(可使用 WMIC SHARE CALL Create /? 查看create后的参数类型)

删除共享
WMIC SHARE where name="C$" call delete
WMIC SHARE where path='c:\\test' delete


5. SERVICE【服务管理】：

更改telnet服务启动类型[Auto|Disabled|Manual]
wmic SERVICE where name="tlntsvr" set startmode="Auto"

运行telnet服务
wmic SERVICE where name="tlntsvr" call startservice

停止ICS服务
wmic SERVICE where name="ShardAccess" call stopservice

删除test服务
wmic SERVICE where name="test" call delete

6. FSDIR【目录管理】

列出c盘下名为test的目录
wmic FSDIR where "drive='c:' and filename='test'" list
删除c:\good文件夹
wmic fsdir "c:\\test" call delete
重命名c:\test文件夹为abc
wmic fsdir "c:\\test" rename "c:\abc"
wmic fsdir where (name='c:\\test') rename "c:\abc"
复制文件夹
wmic fsdir where name='d:\\test' call copy "c:\\test"

7.datafile【文件管理】

重命名
wmic datafile "c:\\test.txt" call rename c:\abc.txt

8.【任务计划】：
wmic job call create "notepad.exe",0,0,true,false,********154800.000000+480
wmic job call create "explorer.exe",0,0,1,0,********154600.000000+480

9. 清理系统日志
WMIC命令的nteventlog选项还可以清除系统的日志记录，当你入侵了某个系统之后，这个命令可以帮助你掩盖攻击痕迹：

wmic nteventlog where filename='[logfilename]’ cleareventlog

wmic nteventlog where filename=’system’ cleareventlog

C:\WINDOWS\system32>wmic /?
ALIAS                    - 访问本地机器上的别名
BASEBOARD                - 基板 (也叫母板或系统板) 管理。
BIOS                     - 基本输入/输出服务 (BIOS) 管理。
BOOTCONFIG               - 启动配置管理。
CDROM                    - CD-ROM 管理。
COMPUTERSYSTEM           - 计算机系统管理。
CPU                      - CPU 管理。
CSPRODUCT                - SMBIOS 的计算机系统产品信息。
DATAFILE                 - DataFile 管理。
DCOMAPP                  - DCOM 程序管理
DESKTOP                  - 用户桌面管理。
DESKTOPMONITOR           - 监视器管理。
DEVICEMEMORYADDRESS      - 设备内存地址管理。
DISKDRIVE                - 物理磁盘驱动器管理。
DISKQUOTA                - NTFS 卷磁盘空间使用情况。
DMACHANNEL               - 直接内存访问(DMA)频道管理。
ENVIRONMENT              - 系统环境设置管理。
FSDIR                    - 文件目录系统项目管理。
GROUP                    - 组帐户管理。
IDECONTROLLER            - IDE 控制器管理。
IRQ                      - 间隔请求线 (IRQ) 管理。
JOB                      - 提供对使用计划服务安排的工作的访问。
LOADORDER                - 定义执行依存的系统服务管理。
LOGICALDISK              - 本地储存设备管理。
LOGON                    - 登录会话。
MEMCACHE                 - 缓存内存管理。
MEMLOGICAL               - 系统内存管理 (配置布局和内存可用性)。
MEMPHYSICAL              - 计算机系统物理内存管理。
NETCLIENT                - 网络客户端管理。
NETLOGIN                 - (某一用户的)网络登录信息管理。
NETPROTOCOL              - 协议 (和其网络特点) 管理。
NETUSE                   - 活动网络连接管理。
NIC                      - 网络界面控制器 (NIC) 管理。
NICCONFIG                - 网络适配器管理。
NTDOMAIN                 - NT 域管理。
NTEVENT                  - NT 事件日志的项目
NTEVENTLOG               - NT 时间日志文件管理。
ONBOARDDEVICE            - 母板(系统板)内置普通设适配器设备的管理。
OS                       - 已安装的操作系统管理。
PAGEFILE                 - 虚拟内存文件对调管理。
PAGEFILESET              - 页面文件设置管理。
PARTITION                - 物理磁盘分区区域的管理。
PORT                     - I/O 端口管理。
PORTCONNECTOR            - 物理连接端口管理。 [补充 包括 USB/Card Reader/HDMI/CRT/MIC/NetWork Interface/...]   # wmic PORTCONNECTOR get
PRINTER                  - 打印机设备管理。
PRINTERCONFIG            - 打印机设备配置管理。
PRINTJOB                 - 打印工作管理。
PROCESS                  - 进程管理。
PRODUCT                  - 安装包任务管理。
QFE                      - 快速故障排除。
QUOTASETTING             - 设置卷的磁盘配额信息。
RECOVEROS                - 当操作系统失败时，将从内存收集的信息。
REGISTRY                 - 计算机系统注册表管理。
SCSICONTROLLER           - SCSI 控制器管理。
SERVER                   - 服务器信息管理。
SERVICE                  - 服务程序管理。
SHARE                    - 共享资源管理。
SOFTWAREELEMENT          - 安装在系统上的软件产品元素的管理。
SOFTWAREFEATURE          - SoftwareElement 的软件产品组件的管理。
SOUNDDEV                 - 声音设备管理。
STARTUP                  - 用户登录到计算机系统时自动运行命令的管理。
SYSACCOUNT               - 系统帐户管理。
SYSDRIVER                - 基本服务的系统驱动程序管理。
SYSTEMENCLOSURE          - 物理系统封闭管理。
SYSTEMSLOT               - 包括端口、插口、附件和主要连接点的物理连接点管理。
TAPEDRIVE                - 磁带驱动器管理。
TEMPERATURE              - 温度感应器的数据管理 (电子温度表)。
TIMEZONE                 - 时间区域数据管理。
UPS                      - 不可中断的电源供应 (UPS) 管理。
USERACCOUNT              - 用户帐户管理。
VOLTAGE                  - 电压感应器 (电子电量计) 数据管理。
VOLUMEQUOTASETTING       - 将某一磁盘卷与磁盘配额设置关联。
WMISET                   - WMI 服务操作参数管理。

截至win10 1009,wmic可用，但已提示弃用。

powershell的cmdlet，不在本篇介绍，主要是命令使用方式编向编程化了。
Get-WmiObject
CIM Cmdlet

C:\WINDOWS\system32>netstat -nabo
活动连接
# 仅显示nginx，其它手工删掉了，未过滤时输出太多。2行为一组。情况 说明 ：本地测试环境nginx监听多个端口。
  协议   本地地址               外部地址               状态            PID
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       9020
 [nginx.exe]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       728
 [nginx.exe]
  TCP    0.0.0.0:4431           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:4432           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:4435           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:4466           0.0.0.0:0              LISTENING       23636
 [ikuacc.exe]
  TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING       10000
  CDPSvc
 [svchost.exe]
  TCP    0.0.0.0:5432           0.0.0.0:0              LISTENING       7060
 [postgres.exe]
  TCP    0.0.0.0:5554           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5555           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5557           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5559           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5560           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5568           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5569           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5588           0.0.0.0:0              LISTENING       9204
 [nginx.exe]
  TCP    0.0.0.0:5589           0.0.0.0:0              LISTENING       9204
  
C:\WINDOWS\system32>netstat -nabo | findstr "nginx 80"    
# findstr "nginx 80"   是或匹配，即同时查询多个字符串
# 输出信息为完整信息，未删除，只显示nginx进程和端口80。只有nginx进程的是因为端口号中不包括80字符串
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       9020
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]
  TCP    0.0.0.0:39171          0.0.0.0:0              LISTENING       4780
  TCP    0.0.0.0:39172          0.0.0.0:0              LISTENING       4780
  TCP    100.64.88.1:20080      0.0.0.0:0              LISTENING       9020
 [nginx.exe]
 [nginx.exe]
  TCP    127.0.0.1:30080        0.0.0.0:0              LISTENING       9020
 [nginx.exe]
 [nginx.exe]
 [nginx.exe]

其它工具，该站点的其它工具不要当作没看见哦 https://www.nirsoft.net/utils/cports.html

https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview

https://windirstat.net/
这个工具是“手动”定位磁盘空间占用的利器