|
|
|
WMIACPI.SYS
, \* ^! {7 P' X* U. G# B0 z4 x7 U1. WMI Concept4 I* g& E# `& {
6 Z2 d; G$ M0 k2 D8 B& G0 }WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。. h6 v6 ~, W' ]- h: r) r- a1 N( p
- y4 s# m' c' R7 V1 O' I% K2 w/ L! n7 O) d7 E3 a/ C
2. WMIACPI.SYS
/ W7 J8 a0 [! H; R: ]1 o4 A a( k
7 t, E0 e4 p. m |1 ^Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的: Q7 ^( G9 |7 X( U0 v5 o
A.Acpi.sys
/ Y7 j: O( S, _! |% V/ h: cB.Wmiacpi.sys4 E8 \# i5 u4 r& X
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
% `; g3 R) w7 I5 b9 r7 W& g3 H: QB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
8 J) {( M! q% @7 D& i1 x! ]- e9 r. f% y
/ t- `* U' G5 E
3 ]$ |) g9 h6 X0 N当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。3 X/ E* q) O, @& x j7 i
" S* ^. ~6 {' O$ e7 Q5 f
3. Under the hood [! K" A% G, Y9 u0 `+ S
. ?7 L9 o3 _, ^1 v2 [0 R0 r' y2 }0 J前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:$ H" N2 q, _) K2 g: V% N) v$ B8 x
! R! |$ F" B3 ~5 {1 b" F( T+ Q5 G/ }
' v' X( ?5 R3 [" x
图 2
& ]1 L- Z* A% m; P1 \图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
( C% M3 D q0 P) d3 v2 V" ~7 g/ C5 J1 c4 h, N3 r- i
8 d' X( z! y7 z* Y1 v图3
' x1 h* F; X( Z* Z. l+ {9 p由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。5 T& B3 P9 Q3 {$ b. k* \# B
- d4 t4 L7 a* w% _* T2 ?4 [! W: B
图4
/ n, J) n+ Y% [+ V& x7 \* c- r, \前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
5 D1 Z/ k2 g* }; ]6 v0 X
# ?- t# m6 H0 j" O' m. u9 z/ [
7 ^, [( B: `( Y* E% i图5 ) A. P/ b, c3 a$ a0 [( q( g! Y, z% C5 }
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:, p$ g3 c, f" r# B4 c
& h) Y4 W4 r: e' a7 K2 `
2 b0 c" N5 G+ H! ` S# [
图6
! K/ U9 n' m1 D! k% n0 D' e) \如图所示:$ U* M8 t/ B0 l; }7 e) K
# j( w# r! n) W% Y bwmiacpi!WmiAcpiSetWmiDataItem
( x8 y; y# j# Q$ v0 Z* M
, G# f. s6 S, X* E2 a- b" @) Uwmiacpi!WmiAcpiSetWmiDataBlock
1 D _, C9 C9 ~ Z6 N; D- m& t! c) G- @) i Y* h" q9 ^: d. s; s
wmiacpi!WmiFireEvent+ C$ I' d2 ^6 S5 ?1 x+ u
, R( K9 _" F- G8 Z
wmiacpi!WmiAcpiQueryWmiDataBlock
7 s( W8 y! ^: h
# T7 p7 N% n; U. Twmiacpi!WmiAcpiSendAsyncDownStreamIrp4 N3 L2 I. U8 q& P
1 z" ^( u- e0 d4 | ^. \/ b" twmiacpi!WmiSystemControl8 P) I, Y4 ^, F) S+ j
4 I/ R6 X/ |8 Y+ i7 k$ O6 U
wmiacpi!WmiAcpiSystemControlDispatch% t1 n( ]6 U. q/ o( q
8 D0 g. `' Y3 A5 ~* ?9 `
acpi!ACPIIoctlEvalControlMethod3 b" L3 j% N9 J$ O! d) S. P
' p( o% k/ H' b* k' Cacpi!ACPIIoctlAsyncEvalControlMethod
) l8 M9 ~# T* M5 N+ W k- ]& }! @' `/ `6 T% C/ H
acpi!ACPIIoctlAsyncEvalControlMethodEx
5 v, f' w) M1 y# k+ ]! A7 c1 R) g
8 a. n: ?+ B$ y$ E3 F5 L2 p' q+ ^acpi!ACPIIoctlEvalControlMethodEx
) f: {0 N i& [1 v+ B
2 Q) d5 q! M [: lacpi!ACPIButtonDeviceControl4 K# f9 @4 {( Q
! Z0 U6 |9 ?+ i% T/ F
acpi!ACPIEcInternalControl1 z' h3 C- g- @: E( z, Z0 e J
- D6 K9 q0 v6 M0 Bacpi!AcpiEmbeddedControllerIrpDispatch S$ T6 w4 y2 E, E- q8 _% M
) C4 ?. \" ?5 s
acpi!ACPIIrpDispatchDeviceControl
# ~- ~# `' N0 ?" n3 n. L% n9 \' Z& P) K
acpi!WmiSystemControl
5 m! I4 Y* w0 w+ b; [
6 d# y$ P; T$ z! V {这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。: B& Q1 e6 `+ V6 M1 i
" ^+ N8 j8 [) E$ f- E* |5 ~
8 X M9 h1 x8 ]5 Z& W; f8 u# _) Z' T1 `: `: p7 |
9 t% ~( Y6 c7 c5 H! J. M" t图7
; }9 O* E; {& [/ }1 ? 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
5 l6 U! x; U5 t. f. I$ ]
# P6 f; n7 z8 Z
4 @% }! r/ Z: t' z
h* ?! ], d7 c图8 7 H3 e$ ~! S) V3 z
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。
+ X5 x& G# g, j6 x' V
) ^& x* W4 _, p6 T D8 n# g0 U4 i3 Y y
9 v9 w& W& O2 n; N2 C6 E/ `图9
7 M/ m6 ?* g1 D H3 `! Z1 l5 Z9 |That’s all!& c) V4 \: @0 \
Peter
4 H( W& w ~! d4 r4 ]" u& k" B; ?$ E" ]% J
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了