|
|
|
WMIACPI.SYS . s: R: s' t# s" ]% O
1. WMI Concept
1 M' X- E' o4 p' b l0 c9 j h, D- A Q7 p( O9 l5 x
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
' A$ ]# Z; z: P% h8 V6 F8 q, A. s1 g m. ]9 ~ c
1 {; ]( h7 K2 r. d2. WMIACPI.SYS9 }* V8 v m b& y" b) T4 ~6 u
6 P5 _" p3 f! h) S( o) K8 u0 ZWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
# G0 E4 u7 a. N5 Q1 RA.Acpi.sys: k. ^% q9 O- c% A. Y
B.Wmiacpi.sys
5 z+ [% X8 `6 j+ x0 B c rA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
! W8 I5 T7 t$ P6 E+ p x- FB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
3 w8 J* i! _: M) f$ S9 E( ?' H1 U) ?$ m, P3 [0 P1 }, t- R
/ P2 J8 p, s. y% W) Q( Z5 k
; @3 j* ]$ r& E/ j0 t7 A+ A当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。3 u; W$ l8 f: ]5 }9 Q, `6 e& E& W, G1 `
" Y, k0 _2 H$ ~/ Y/ e6 L, \3. Under the hood0 C7 ` l1 N4 H
$ _' Y3 F8 d- S6 }- v0 a' }
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:* k. Y8 l' S- ]) Z. g9 _; ^" A
0 U& c) A& Z9 Q8 `! c, }1 y6 T1 q% r
G$ I! ]& |& I @图 2
: ^5 [1 u o2 S6 y3 g. |' i; s图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。# o4 L& ]: p* e% V0 J
+ W. U9 o, h: f; Z+ P
+ G2 b+ `& {# q# E" e
图3
. `; Q6 O* P: v! e6 _9 J& K3 L由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。 S5 M# f$ o# K9 _4 E
2 o1 {; E9 h6 R1 {' l
) t, F3 n) g/ j* V& s图4 . I! h, d: f9 m
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
+ V( j2 W& Z/ `0 z9 E/ f
; g& m* F- X* g
- K, D$ C5 D# ^- E/ W2 j图5
/ i: l/ {9 G' ], N" Q经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
8 K' z1 Y M; x8 B7 M) g, W1 m/ m6 x# I# a
. x- a# E. z# Z
图6
: f5 S( M& |) w! D. `如图所示:! T. U. w8 r7 c, q* @9 K+ C
/ B2 z6 [2 r' v0 t
wmiacpi!WmiAcpiSetWmiDataItem5 \( ^' G* \ G; F- ~( o
. m ]1 q/ G' ~: u
wmiacpi!WmiAcpiSetWmiDataBlock
! E1 n/ B: |* q# y
2 ~$ T2 B) x( Y; M: z1 Vwmiacpi!WmiFireEvent
$ I3 R1 i& J1 f, f9 l ~
+ p; S g8 \( D9 ?4 I' X$ k% ~" qwmiacpi!WmiAcpiQueryWmiDataBlock
2 N9 L s; k8 r. y2 y: N8 r* b4 [0 T; Q
wmiacpi!WmiAcpiSendAsyncDownStreamIrp9 h( F, Z; e# d7 J$ O: H( \
7 |8 b1 P. k% q# G S5 l; {
wmiacpi!WmiSystemControl3 t7 j- u f! Q, t1 [
, x' ?/ [4 \1 C: V% s2 Z
wmiacpi!WmiAcpiSystemControlDispatch
) X" n+ J& t3 g& G6 @$ K; k" U/ ]7 h- q" C6 r* ]
acpi!ACPIIoctlEvalControlMethod
/ E- \& f: o& ] L# o7 ~: ]4 k! P% E% f1 F: t, x( F' U
acpi!ACPIIoctlAsyncEvalControlMethod r, ^" E* A3 k( @) ]1 b, t
8 s* V9 Y0 P, O, e: R; ]
acpi!ACPIIoctlAsyncEvalControlMethodEx
% _) E, D! X! n* H" o
+ [1 X6 K3 a0 E' C! Aacpi!ACPIIoctlEvalControlMethodEx
s6 G; A; D' o0 t7 R; X& Z, A
, \) E: j! Z$ {+ Q7 d* xacpi!ACPIButtonDeviceControl r3 F" X2 _6 u1 Z
4 W8 ]$ I, K4 P8 i* \" _' }9 S2 Macpi!ACPIEcInternalControl( B( ^" s* N2 ?6 K, `! U2 x
# U8 b" ^; c( h( m: N
acpi!AcpiEmbeddedControllerIrpDispatch" F* Y$ y9 L: i/ |8 H
: E# N$ [3 I+ V) i
acpi!ACPIIrpDispatchDeviceControl9 o9 k' \) r7 _1 W* N1 [- T {' U
) W% p2 |; i4 {- K4 E2 H
acpi!WmiSystemControl( J, g! h3 K% z
3 g t0 i% a+ Y& ?/ N3 E& O
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
# w5 A$ x' b ]( ^
3 B; o/ o) i% ]8 U
4 }, h' t7 R& @/ P2 z
" W/ I# h( @4 f" r e2 N- B ~/ N: i7 J* c
图7# D. `! t Y7 l+ l3 r% B/ z
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
; W( t' J0 r# f7 L" e) `+ M1 Q& l( l% t l
, {1 {4 J2 }5 i$ A6 _1 D$ }; N" H: N |
图8 & E5 ?4 k; F/ t* V. Y# T# Y4 C& P+ [
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。
) z6 ], D: V0 n3 @1 x9 q: i
) X. s, P. v# |. u/ c; n1 e0 K
( m4 u7 p; u; w( p- J' o0 n v, U" {2 F, H- U, l! p
图9 / a% B% [) ?" { s4 F
That’s all!
9 D9 G; b/ \& L- b2 l* uPeter
$ L* w8 k- m/ Q" q+ u' \( t0 \8 r! f" Z. ~8 ?. [+ X4 S( _
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了