|
|
|
WMIACPI.SYS
/ I8 T. ~2 H4 \# d% h1. WMI Concept; q/ Y8 a/ h( `& ~
, h! ], ] z0 ^! sWMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
; g1 ~" x4 \" f2 ~2 W# i
' y/ K; e" T/ c9 k& p1 h! A
" R6 k4 z5 g- y! K, K$ h2. WMIACPI.SYS0 T2 ^/ h5 i" D; m1 |% y
5 u G: ^5 S# a. T! H# |
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
8 J. l0 X0 o& }, m/ \7 N8 FA.Acpi.sys
( t2 G; Z3 W4 EB.Wmiacpi.sys
0 y# d) a* {. T/ h, [: WA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
3 E5 t' k2 P7 |6 ~ f% p3 yB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:. f0 l" F f: j0 w
a- S2 @1 }- e/ p6 l, a" K# |4 G9 X) G
2 [- A5 {- Q+ @( f5 p# c当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
* d' s! g- V+ l L
$ b& R8 H3 b, }0 L6 r; H z/ S3. Under the hood4 ~% [- P" H# m5 X
0 d/ D( c$ C8 f0 a0 h& d. w+ m
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:$ l3 Y1 ]3 v) a- n0 U
3 ~$ c% Q' c5 |* j* v
" q! Y. p, M) n$ i
! p- {+ C. m4 x. ^
图 2 # l7 b3 c$ o; L$ ]- k3 w
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
7 X' z# G X& Y7 `+ e- U
, S7 F1 t) |) g! c( S2 m/ i0 {/ l1 U7 U! P y
图3
4 q8 A$ S7 \ T6 s+ x, J由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。4 f9 q" j. F3 E J0 k% t/ ^( _ T
0 Z! L& f# t9 v8 o1 m0 |1 @8 L' X
/ R n0 o* N. m# b9 Y4 E
图4 ; K9 l" j& W* S3 y @. h- ~$ U
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:$ v+ S( d! F/ C) t1 q( E8 |- Y
5 a( |' D/ h7 C$ B' l, p# |% {
B" l: X$ g f. b( E图5 * N9 U! t0 X- c6 Y- i% L, c; k
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
: }0 s5 z1 i, n3 b, F! P. U4 @7 v+ b4 `: @7 ` l2 g/ _3 _; h/ H
' k* c( N) c; T9 h- _图6
7 u( h) ~ z8 \8 v& X3 K如图所示:
( V, D. \8 y( I0 \! c. A
7 _/ c2 j' {" `9 h9 y- @wmiacpi!WmiAcpiSetWmiDataItem1 ]4 U( {9 E, d4 ^! Y( }; J" F5 l
! S5 T2 m' r8 j3 Y- i, X
wmiacpi!WmiAcpiSetWmiDataBlock
# `0 [+ l- o- F3 t( N8 D: h; v4 j1 Q8 x! q
wmiacpi!WmiFireEvent
; N- q4 Y: A/ v N# y" }- J2 r1 X/ T- q
wmiacpi!WmiAcpiQueryWmiDataBlock! c6 X. [# @; ? P: E" r' p. a
; V/ h, a/ g" k( i) j% A8 Swmiacpi!WmiAcpiSendAsyncDownStreamIrp
, `. H/ \) e! E" `3 m3 ^( K; B m8 i) h2 z
wmiacpi!WmiSystemControl
) G7 }- U* }9 l7 N
& @% a2 b7 \( A& U$ E% @wmiacpi!WmiAcpiSystemControlDispatch
& k/ i% c: v/ R. W; O; e" n- ]7 W$ K( v
9 Y7 G# M. U+ |" C4 ^! B! Wacpi!ACPIIoctlEvalControlMethod
2 g @$ v8 `; M4 h0 t: T* b6 X! P# W( W/ i- I/ T/ a9 [. M
acpi!ACPIIoctlAsyncEvalControlMethod
% l/ z4 @+ o" G+ E& m" _+ [
' t2 e: ~/ \: Bacpi!ACPIIoctlAsyncEvalControlMethodEx1 r# I: P" \' Z) B) d f( v1 f# V9 \
( d" D6 Y* c, ?1 f J/ [acpi!ACPIIoctlEvalControlMethodEx% Q" T9 \, f- o( k3 h- o
6 V( N* ~/ \# \% Macpi!ACPIButtonDeviceControl
" K/ H" r8 d" f ^4 f8 N2 L$ k9 e/ ]( M+ g9 s; x/ k
acpi!ACPIEcInternalControl% k; ?+ a* e4 P. g
) g" _/ ~. ~; e: T0 t f6 }acpi!AcpiEmbeddedControllerIrpDispatch# i! A& |+ Q2 l+ o
+ w: n5 e( ~' V( W1 ?7 I
acpi!ACPIIrpDispatchDeviceControl
0 s' p# E" v/ R7 g7 l+ V4 n# F, N
8 e% q* \6 c! B9 I1 |! iacpi!WmiSystemControl. b) j% u5 @8 _
# a) s5 h; M, z6 b
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
. J# i+ ~" `) f: O* c0 b% a
' q7 I: J- l# z8 D5 [+ q1 h( x3 ]' A* x# {7 j. i( m. J
, a4 \' g) `4 _: j) ?
8 F: w- u, B) g" c( R: ^图72 G5 E# u4 X0 k; k$ R
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。$ i+ B5 m6 `, A0 D+ S* f
) d+ b4 A/ H4 S+ O7 K
9 }5 e* K. g- W0 [& y
) G7 ]: Z0 ^7 c0 X" u" z/ |图8
1 T' y0 t7 I& V, f9 R: u* K以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。/ p/ S3 V" ~4 Q5 h+ y
6 A/ a* s6 z1 x5 O, \4 G8 C4 E
& A; z7 J7 Q5 J$ O7 M2 x
1 W0 a, o# [( r3 j' o% Z8 _图9 0 `- K$ \; t3 ?# t5 w1 q' G
That’s all!
1 e/ b' L$ P" k% w9 OPeter
! V0 C& r0 v7 e$ p v9 v a/ b+ \3 Y
) S9 w" e, [- B* @' a$ _3 _[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了