|
|
|
WMIACPI.SYS
( V9 i$ O3 Z, d3 ]7 ]1. WMI Concept: ^1 e1 d# B6 W; ?# r
* h, e, g6 C' b5 ~3 p( m- m
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
# H& T- Q7 }1 n
/ u* c+ C- D* M/ Z
; z0 H" Y% j& e% `- a& A2. WMIACPI.SYS1 r9 c# i* ?- ]5 ^" ~1 t% ]
8 h1 @4 I- L0 L2 c: G. h9 o
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
' ?7 J0 ^1 o: M- rA.Acpi.sys
" L+ O% d" t5 A$ T# V( }B.Wmiacpi.sys
; m0 C, h. b! zA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
6 y" D/ P) T; g u5 AB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:8 V0 r& _ S- v4 L3 Y/ A
( x( W+ O; d1 I, E
6 ^2 \& r* N, c2 h& E
: s8 a. @5 R, P; f0 l当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。9 q4 r8 G {1 S" O+ N1 P" \4 h
! C- Q ~! W3 G' R( ]/ V# r+ Q3 @
3. Under the hood6 @" B7 U- f$ X; J$ D0 m
# `; l/ m. W3 k; a% W$ t前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:6 X7 J$ x* \; @% s) Z
/ z" x# z# n3 ~- o- u. W
, j# ?. ?% l% Y6 }) Y, n; h6 Y" d5 U \) {; r
图 2 7 @: X, q- e; O# |+ f9 l i* z
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
5 L; Y" z" @) R* N8 X- K& K4 _( o1 x% I [ x% m: i$ F! y
1 g: y% |- v) \1 D6 K, y$ A图3 # t1 l$ K# H9 O L Z6 `/ k
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。5 g, Y3 h1 K, p) d' h& g
/ H0 N% H$ l% }3 Z
9 V; C1 @: W0 T- |, h4 r1 B1 Y图4 ) p6 J2 O3 k4 D( _6 P* i$ V
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:: \. X/ E! w% U' A* q0 R
/ D6 R/ a/ ?/ e" @
+ }4 V' j% z6 F" H/ a0 X7 S6 W
图5
* ~, n1 ?* H: ^0 Z! z经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:8 L+ |, L) [4 | o
* n& l2 ?! A$ V) f: }
- L8 v6 r; l6 @: b6 X图6
K7 @4 `0 \6 i- R1 X如图所示:% e; z: p3 v! n2 }" q- v, k7 Z
! W: `7 x' M0 X
wmiacpi!WmiAcpiSetWmiDataItem
8 `$ T5 N, X ^4 {2 x/ x
. \3 T" R7 `# C% F/ ywmiacpi!WmiAcpiSetWmiDataBlock( {8 b& V5 z$ b- J
& x( k" }/ T1 E5 [2 [
wmiacpi!WmiFireEvent; r! i- r1 R( C$ ^5 Z/ ]/ o) ~4 K- \* [
- h$ @6 B" ~' m# ]9 h9 N2 }8 o
wmiacpi!WmiAcpiQueryWmiDataBlock
$ @" `4 a { s5 k& P, @) W% l$ q$ {. W. m
wmiacpi!WmiAcpiSendAsyncDownStreamIrp
; R; o2 N0 I/ T5 N' ?7 g( L6 z
' B M' g* ]5 P7 F# Cwmiacpi!WmiSystemControl; A0 |2 }1 c/ c& Q) Q; @0 F
% [# T$ J4 k8 m2 [& \
wmiacpi!WmiAcpiSystemControlDispatch! [! j- ?" @9 n" A: V9 r
w6 r: T$ E U) a8 \+ a2 v' C' Jacpi!ACPIIoctlEvalControlMethod
8 W. w$ N) b! h0 q3 i( r& U% X4 f4 | @4 T/ P9 F# `+ B( }& v, u
acpi!ACPIIoctlAsyncEvalControlMethod
6 E# y+ l( d6 H' M4 ^, D1 \* }- R V
acpi!ACPIIoctlAsyncEvalControlMethodEx
2 K" F: U. Z7 i n/ q0 a/ u! `- _
acpi!ACPIIoctlEvalControlMethodEx
0 r' F4 u/ `; h9 }% p3 K. X5 L. @* p4 v/ s5 y4 x6 F0 G6 s1 O+ L( |3 O
acpi!ACPIButtonDeviceControl
/ q* x+ R3 w! G4 m" P/ p/ T' s7 H* E e
acpi!ACPIEcInternalControl
|+ L$ ?* I) o1 m% B: T5 a9 H; K2 @( G i5 |
acpi!AcpiEmbeddedControllerIrpDispatch
# Q& [2 T. a! k8 Z! S1 j$ \" h. \3 J# Y! ~. X, A) W7 E
acpi!ACPIIrpDispatchDeviceControl' ~+ U7 y9 |9 _- f- j/ E
) F* v$ M. t. T: M
acpi!WmiSystemControl
9 u0 n# U+ M( Y+ d. [. B7 t8 a8 a3 @. V: {9 ]5 q
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。) f& z. [2 B. o# A. \; ~
; s$ f) \' p: c6 B( N
1 G, s2 }' }; O( D" h
0 D: A3 @9 u5 t8 z& h7 B) Z( N4 w' b$ Y" i" J) |- E
图7
/ d" d- x( i% w% U+ B' L& D0 j 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
! v( \7 U% a2 { m8 U" Y( o$ k9 e
+ F& F0 q+ a; r s8 v/ k% T. g
8 X" d% s5 K2 _9 u
* [0 b( {6 G m' k, Y图8
- L/ H# A8 V- a$ T J( n以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。
- C( ]4 O% P$ m# f- [. Y5 _ X5 }
; i. s2 s; H7 u) P. l
, r3 f1 p& e' Q+ Q图9
( s2 y$ [% E; `! }That’s all!
3 P4 t. p5 `; ^# c. x7 i; vPeter 5 ^: R, b. N$ i1 j" R
5 L* \0 s) t3 I' z, y p3 |[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了