转自死性不改论坛
前言
最近出现很多人反馈 WmiPrvSE.exe 进程的 CPU 利用率过高的问题,达到5%至30%,很多人一头雾水,不知从何查起,只能靠挨个停用软件来排查。
本文介绍一种更加科学的方法来找出导致 WmiPrvSE.exe 进程的 CPU 利用率过高的罪魁祸首。
引用
- WmiPrvSE.exe 是微软Windows操作系统的一部分,用于通过WinMgmt.exe程序处理WMI操作,该程序对计算机系统的正常运行是非常重要的。----百度百科
通俗的来讲,WmiPrvSE.exe 就是系统服务“Winmgmt ”对应的具体执行进程,系统服务“Winmgmt ”的显示名称为“Windows Management Instrumentation”,服务描述:“提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。”
注意:WmiPrvSE.exe 的路径在 C:\Windows\System32\wbem\WmiPrvSE.exe ,如果不是,则是后门程序或某软件投放的增值相关的软件。
原理 & 操作方法
通常情况下,应用程序通过执行类似SQL语句的WMI语句来进行查询系统信息(ExecQuery)或注册监视事件(ExecNotificationQuery),具体的执行由 WmiPrvSE.exe 进程来完成。查询系统信息(ExecQuery)并不容易导致 WmiPrvSE.exe CPU 利用率过高,而注册监视事件(ExecNotificationQuery)就很容易导致这个问题。那么我们追踪注册监视事件(ExecNotificationQuery)即可找到导致 WmiPrvSE.exe 进程的 CPU 利用率过高的罪魁祸首。
在win10上,操作系统默认会将WMI的语句执行记录到系统日志,我们只需要在 WmiPrvSE.exe 进程的CPU利用率很高的时候,在系统日志中寻找注册监视事件(ExecNotificationQuery)即可。
win7及win7以下的系统默认不记录WMI的语句执行,需要我们手动开启日志记录。开启方法很简单,客户机在超管状态下,执行此批处理:
WIN7启用WMI活动日志记录(日志最大2G).bat
(256 Bytes, 下载次数: 6)
|
|
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
