Không cài được phần mềm vì lỗi windows management instrumentation năm 2024

Microsoft đã tạo Công cụ quản lý Windows (Windows Management Instrumentation, hay WMI) để xử lý cách máy tính Windows phân bổ tài nguyên trong môi trường hoạt động. Bên cạnh đó, WMI còn tạo điều kiện truy cập cục bộ và từ xa vào mạng máy tính.

Tuy nhiên, tin tặc có thể lọi dụng khả năng này cho các mục đích xấu thông qua một cuộc tấn công liên tục. Bài viết sau sẽ hướng dẫn cách loại bỏ WMI khỏi Windows và giữ an toàn cho bạn.

WMI Persistence là gì?

WMI persistence chỉ việc kẻ tấn công cài đặt tập lệnh, cụ thể là một event listener, luôn được kích hoạt khi sự kiện WMI xảy ra. Chẳng hạn, điều này sẽ xảy ra khi hệ thống khởi động hoặc quản trị viên hệ thống thực hiện điều gì đó trên PC như mở một thư mục hoặc sử dụng một chương trình.

Các cuộc tấn công Persistence rất nguy hiểm vì chúng diễn ra một cách lén lút. Kẻ tấn công tạo đăng ký sự kiện WMI (WMI event subscription) vĩnh viễn để thực thi một payload hoạt động như một quy trình hệ thống và xóa nhật ký thực thi của nó. Với vectơ tấn công này, kẻ tấn công có thể tránh bị phát hiện thông qua kiểm tra dòng lệnh (command-line auditing).

Cách ngăn chặn và loại bỏ WMI

Cách tốt nhất để tránh các cuộc tấn công persistence là vô hiệu hóa dịch vụ WMI. Làm điều này sẽ không ảnh hưởng đến trải nghiệm người dùng tổng thể trừ khi bạn là người dùng thành thạo.

Lựa chọn tốt thứ hai là chặn các cổng giao thức WMI bằng cách định cấu hình DCOM để sử dụng một cổng tĩnh duy nhất và chặn cổng đó. Bạn có thể xem hướng dẫn của FUNiX về cách đóng các cổng dễ bị tấn công để biết thêm về cách thực hiện việc này.

Biện pháp này cho phép dịch vụ WMI chạy cục bộ trong khi chặn truy cập từ xa. Đây là một ý tưởng tốt bởi truy cập máy tính từ xa đi kèm với rủi ro riêng.

Một quyền lực không nên nằm trong tay kẻ xấu

WMI là một trình quản lý hệ thống mạnh mẽ nhưng lại trở thành một công cụ nguy hiểm nếu rơi vào tay kẻ xấu. Tệ hơn nữa là không cần kiến ​​thức kỹ thuật để thực hiện một cuộc tấn công Persistence. Hướng dẫn tạo và khởi chạy các cuộc tấn công WMI Persistence có sẵn miễn phí trên internet.

Vì vậy, bất kỳ ai có kiến ​​thức này và quyền truy cập ngắn vào mạng của bạn đều có thể theo dõi bạn từ xa hoặc đánh cắp dữ liệu của bạn mà hầu như không để lại dấu vết kỹ thuật số. Tuy nhiên, tin tốt là bạn vẫn có thể ngăn chặn và loại bỏ sự tồn tại của WMI trước khi kẻ tấn công gây thiệt hại lớn.

Quá trình WMI Provider Host là một thành phần quan trọng của Windows. Muốn hiểu rõ hơn về quá trình WMI Provider Host (WmiPrvSE.exe) và tại sao nó có thể làm tăng tải CPU, hãy tham khảo nội dung dưới đây từ Mytour.

Quá trình WMI Provider Host là một phần không thể thiếu trên hệ điều hành Windows và thường chạy ngầm. Nhiệm vụ của quá trình này là cung cấp thông tin hệ thống cho các ứng dụng khác trên máy tính của bạn.

Thường thì quá trình WMI Provider Host không tốn nhiều tài nguyên hệ thống, tuy nhiên, nếu một quá trình khác trên hệ thống gặp sự cố, WMI Provider Host sẽ chiếm đụng nhiều CPU.

WMI Provider Host (WmiPrvSE.exe) là cái gì? Tại sao nó lại gây tình trạng chiếm đụng nhiều CPU?

WMI Provider Host là gì?

WMI là viết tắt của Windows Management Instrumentation, một tính năng của Windows cung cấp chuẩn phần mềm và kịch bản quản trị để yêu cầu trạng thái hệ điều hành và dữ liệu trên đó.

WMI Provider cung cấp thông tin này khi được yêu cầu. Ví dụ, phần mềm hoặc lệnh có thể tìm thông tin về trạng thái mã hóa ổ cứng với BitLocker, xem các sự kiện từ bản ghi sự kiện hoặc yêu cầu dữ liệu từ các ứng dụng đã cài đặt có chứa WMI Provider. Microsoft cung cấp danh sách các ứng dụng bao gồm WMI Provider trên trang web của họ.

WMI Provider là một công cụ hữu ích cho trung tâm máy tính doanh nghiệp, đặc biệt là khi thông tin có thể được yêu cầu thông qua script và hiển thị trên Admin console. Thậm chí trên máy tính cá nhân, một số phần mềm cài đặt có thể yêu cầu thông tin hệ thống thông qua WMI.

Bên cạnh đó, bạn có thể sử dụng WMI để tìm kiếm các thông tin hữu ích không thấy trên giao diện Windows thông thường. Ví dụ, sử dụng công cụ WMI Command Line (WMIC) để lấy số seri máy tính, xác định số mô hình bo mạch chủ, hoặc kiểm tra sức khỏe của ổ cứng.

Vì sao WMI Provider Host chiếm nhiều CPU?

Thường thì WMI Provider Host không tốn nhiều CPU vì không thường xuyên hoạt động. Trong một số trường hợp, khi một phần mềm hoặc script yêu cầu thông tin qua WMI, có thể xảy ra việc chiếm CPU, điều này là điều bình thường. Chiếm đụng nhiều CPU có thể xuất hiện khi ứng dụng khác yêu cầu dữ liệu thông qua WMI.

Tuy nhiên, nếu tình trạng WMI Provider Host chiếm đụng CPU kéo dài, có thể xuất phát từ lỗi hoặc sự cố xảy ra. Đôi khi, WMI Provider Host không luôn tiêu tốn nhiều tài nguyên hệ thống.

Khởi động lại Dịch vụ Quản lý Công cụ Windows để khắc phục tình trạng này. Hoặc có một cách khác, đó là đơn giản chỉ cần khởi động lại máy tính của bạn. Bạn cũng có thể khởi động lại dịch vụ mà không cần khởi động lại toàn bộ máy tính.

Để thực hiện điều này, hãy mở Start menu, sau đó nhập 'Services.msc' vào và nhấn Enter để mở công cụ Services.

Sau đó, tìm và nhấp chuột phải vào Dịch vụ Quản lý Công cụ Windows, chọn Khởi động lại.

Nếu phát hiện WMI Provider Host liên tục chiếm đụng CPU, có thể do một process khác đang hoạt động không đúng cách. Nếu process đó liên tục yêu cầu nhiều thông tin từ WMI provider, có thể dẫn đến tình trạng WMI Provider Host chiếm đụng CPU. Thông thường, thủ phạm gây lỗi là process khác.

Trong trường hợp CPU chạy 100%, bạn có thể tham khảo bài viết về sửa lỗi CPU 100%, giải quyết tình trạng CPU quá tải 100% trên máy tính của bạn.

Để xác định process cụ thể gây ra sự cố với WMI, bạn có thể sử dụng Event Viewer. Trên Windows 10 hoặc 8, nhấp chuột phải vào nút Bắt đầu ở góc dưới cùng bên trái, chọn Event Viewer để mở công cụ. Trong Windows 7, mở Start Menu, nhập Eventvwr.msc, và nhấn Enter để mở Event Viewer.

Trong cửa sổ Event Viewer, ở khung bên trái, bạn di chuyển đến Applications và Service Logs\Microsoft\Windows\WMI-Activity\Operational.

Cuộn qua danh sách và tìm các sự kiện 'Error' gần đây. Bạn hãy click vào từng sự kiện và xác định mã lỗi ở phía bên phải, ở góc dưới cùng cửa sổ để xác định số ID của process gây ra lỗi WMI.

Bạn sẽ thấy một số lỗi ở đây, có thể là do cùng một số ID process hoặc có thể là do nhiều ID process khác nhau. Hãy click vào từng lỗi và kiểm tra ClientProcessId để xác định số ID của process.

Bước tiếp theo là xác định process gây ra lỗi. Hãy mở cửa sổ Task Manager bằng cách nhấn tổ hợp phím Ctrl + Shift + Esc hoặc chuột phải vào thanh Taskbar và chọn Task Manager.

Trong cửa sổ Task Manager, chọn tab Details, sau đó click vào cột PID để sắp xếp các process theo ID, và tìm process khớp với số ID hiển thị trong các sự kiện của Event Viewer.

Chẳng hạn, trong hướng dẫn này, process HPWMISVC.exe là nguyên nhân gây lỗi.

Khi process bị đóng, nó sẽ không xuất hiện trong danh sách nữa. Thậm chí, khi một chương trình đóng và mở lại, số ID process có thể khác nhau. Điều này làm cho việc tìm kiếm các sự kiện gần đây trở thành quan trọng, vì số IP process từ các sự kiện cũ hơn trong Event Viewer không hỗ trợ tìm kiếm.

Sau khi có được thông tin này, bạn đã biết process là nguyên nhân gây ra lỗi. Hãy tìm kiếm tên của các process này trên mạng để xác định phần mềm liên quan.

Ngoài ra, chỉ cần kích chuột phải vào process trong danh sách và chọn Mở Vị trí Tệp để hiển thị vị trí của process trên hệ thống, có thể giúp xác định gói phần mềm mà process đó là một phần của.

Điều quan trọng là bạn cần làm là cập nhật phần mềm hoặc gỡ bỏ cài đặt nếu không sử dụng nữa.

Có khả năng vô hiệu hóa WMI Provider Host không?

Về mặt kỹ thuật, bạn có thể vô hiệu hóa dịch vụ Windows Management Instrumentation trên máy tính. Tuy nhiên, nếu làm như vậy, nó sẽ ảnh hưởng đến các process khác trên máy tính. Dịch vụ Windows Management Instrumentation là một phần quan trọng trên Windows, nên tốt nhất là để nó nguyên vẹn mà không can thiệp.

Theo mô tả của dịch vụ: 'Nếu dịch vụ này bị tắt, hầu hết các phần mềm dựa trên Windows sẽ không hoạt động đúng cách'. Vì vậy, không nên vô hiệu hóa WMI Provider Host.

Nếu bạn đối mặt với vấn đề của WMI Provider Host, hãy xác định process nào trên máy tính gây ra lỗi khi WMI Provider Host chiếm độc nhiều CPU và sau đó tiến hành cập nhật, loại bỏ hoặc vô hiệu hóa process đó.

Trong bài viết của Mytour, chúng tôi đã giải thích về WMI Provider Host (WmiPrvSE.exe) là gì và tại sao nó lại chiếm độc nhiều CPU. Hi vọng bài viết sẽ mang lại giá trị cho bạn.

Bạn không chỉ phải đối mặt với vấn đề của WMI Provider Host (WmiPrvSE.exe) mà còn có những process khác như svchost.exe, mà người dùng thường hiểu lầm là chương trình độc hại trên hệ thống. Nếu bạn muốn chia sẻ ý kiến của mình với Mytour, hãy để lại bình luận dưới bài viết.

Nội dung được phát triển bởi đội ngũ Mytour với mục đích chăm sóc và tăng trải nghiệm khách hàng. Mọi ý kiến đóng góp xin vui lòng liên hệ tổng đài chăm sóc: 1900 2083 hoặc email: [email protected]