找回密码
 加入计匠网
搜索
热搜: BIOS ACPI CPU Windows
查看: 22471|回复: 8

[原创]WMIACPI.SYS

[复制链接]
发表于 2009-5-22 17:14:23 | 显示全部楼层 |阅读模式
WMIACPI.SYS

3 p9 |" |; Y- z1. WMI Concept
0 \6 w7 O, n9 V3 [' I( k4 z
. A  ~$ S& S' s7 i: s7 @3 ^WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COMuser mode API对系统部件进行访问、管理、控制。
. v' w0 S" `. f; ]- B  t4 _& w" y
) H% k  @7 b% T: S4 y, ?1 [

# x# p& f3 |4 u) R! a2. WMIACPI.SYS; i& [/ A$ X& l$ C

& [' r# u. P- J  x) UWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID PNP0c14.ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOSOS中定制wmiacpibini已经给出了非常详细的讲解,有兴趣可以参考
bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:# q% ^7 D: J" N# t7 Z+ X
A.Acpi.sys
* x) c$ P0 s+ IB.Wmiacpi.sys
2 P! Y$ t$ l/ h- Z' kA).Acpi.sys的一个主要功能是解释和执行aml,aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driverbattery driverlid driverfan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。$ M( m( z1 P8 T9 g# ~% a
B).Wmiacpi.sys它的Plug and Play IDPNP0c14,一旦BIOS asl code给出定义,acpi.sys就会创建这个pseudo deviceOS就会load wmiacpi.sys作为该devicedriver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture
5 V, q+ s, ~) }+ x! e7 u# V- U
/ X' B3 @* o% x( q; |( J+ H( }  I' O3 V4 Z% I
wmiacpi1.JPG
3 _7 I$ U' C, }1 x; \user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRPwmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.syswmiacpi.syslower driverwmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sysacpi.sys再返回具体信息然后逐级回送。
5 `0 a6 D: L6 O' C3 e' ]
; \  w0 q3 U5 v; r3. Under the hood  @8 p+ P, D+ C) x5 T3 q

. P; s3 {4 W+ a7 a" Y前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpisamplecodebuild之后会生成一只acpimof.dll,在BIOS里面将device.asl
包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
$ N& t2 w5 R* _/ i. M  v. D1 v6 T
0 y5 I- `% [, i
& g5 ~& a# E. K
wmiacpi2.JPG

0 [8 U! l- c% S9 [" f( ~
2

5 V! |0 m4 l2 c2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbglet’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。9 j+ l/ s# G% n7 v* R
; i7 L$ d  A( @2 D) o
wmiacpi3.JPG
2 u% I( W' u( c/ F
3

9 y; i/ O/ n9 @7 J1 }, y7 I1 v由图3显示与wmi相关的有两个driver:wmilib.syswmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.syssymbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol
' @4 B( a8 _1 s( y- M  r/ c  ?1 p0 j' T5 M
wmiacpi4.JPG

4 D$ ^8 r; W# L7 e
4

- v7 w7 `/ T, b前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol9 f4 `& @! ^9 M8 X0 H0 u; t
) }9 e) }2 e  D3 u+ C8 L
wmiacpi5.JPG

" o& @5 N6 ]1 |4 p% E
5
$ I& Z, H" ~# T* \* c: |# W% a8 c
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:3 I6 _* a% A  p. A; a! S9 m
& y2 i" i; o# s
wmiacpi6.JPG

- G, d: _% N2 H, _- k
6
+ r8 a# J) j" H0 |- C; Z4 o
如图所示:- ~  P) B2 @6 N

( F8 X3 v% |; A. k' I7 z) |wmiacpi!WmiAcpiSetWmiDataItem
% Y* F$ G, Z% q: ?% N5 [; v$ `

0 g! E9 N+ G; ^7 ^  \wmiacpi!WmiAcpiSetWmiDataBlock

; o& `, D. c0 I, y0 Y- x& i# u1 p1 S+ G3 u' T* d  t
wmiacpi!WmiFireEvent

3 M# _: M# t; H# d6 q: H7 [, x; V
* ~; G, V3 Y, Q4 Nwmiacpi!WmiAcpiQueryWmiDataBlock
4 u! N2 ]: t# y

; p0 p5 g8 s1 C/ _* Y0 Swmiacpi!WmiAcpiSendAsyncDownStreamIrp

1 H- k4 j9 e' H0 Q1 D
2 J% I: G7 F5 ]5 uwmiacpi!WmiSystemControl
+ m/ s' z& V( P

1 j3 N( }  u/ A0 Hwmiacpi!WmiAcpiSystemControlDispatch
' y% P$ T# o# w( E9 _" r1 @8 B

2 }( G  \4 w; yacpi!ACPIIoctlEvalControlMethod
8 J  Q; b5 X# `& T7 L

# M% k* H9 z; S7 L/ P- ]0 \5 lacpi!ACPIIoctlAsyncEvalControlMethod

1 i' B6 P% N/ `- H  J+ T& @& I
1 W4 A) {" I+ L3 h  ^2 bacpi!ACPIIoctlAsyncEvalControlMethodEx

" x$ J5 a. }2 K% g# ~2 U  k8 \5 W/ n7 N
acpi!ACPIIoctlEvalControlMethodEx

2 ?& p% H% a" n* ~5 z# v4 Z# h+ a) m; X
acpi!ACPIButtonDeviceControl

( x& j9 B9 {4 o
! R" c* F3 K  t3 X: D4 q2 Tacpi!ACPIEcInternalControl

- K5 G4 t' h% `
$ i' N# u7 k+ I7 b# [4 k4 Kacpi!AcpiEmbeddedControllerIrpDispatch
0 h: c2 f( h+ ?1 O9 n; t) V

: m! U  Z) E2 x, Wacpi!ACPIIrpDispatchDeviceControl

0 A# a( T  }9 a2 X' P
  N# X4 f' ~4 Wacpi!WmiSystemControl
! {6 q* X/ ^! K* P/ i
% \9 M0 X* B' B: ?; n4 r* f0 \$ w" {
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J$ G) q( X5 m2 D. w

0 Z' }% A. `$ U$ k  M" W1 `7 ?& d8 f$ q8 K9 @
/ i4 M" c" {8 n& _6 |$ r
wmiacpi7.JPG
; F$ P" x4 O& V. r
73 y5 T5 j& X( P  {, Q( g
8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。- E1 ^6 F2 j* i. U1 B, N
. `# u7 i8 N* X  w$ n- o- j
9 [; y. h* V1 j. s
wmiacpi8.JPG
: F8 u: u0 j, }$ G% K, R3 G* A5 r
8

4 r0 z+ n* E' p; Y9 i以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J
1 v4 _' [. [( q* r

% ?% T- A# l1 o) ^4 {6 K% w$ \! M7 T: E( F, Y0 E. Y" g) V
wmiacpiA.JPG
" u) T7 l! R2 ]% u
9

. B$ ?% T, H0 L) pThat’s all!
0 ^2 a9 c; K4 y' i( z+ D4 iPeter * d: l3 u. ^8 |* k/ e& ]

3 O+ W, L# }- C6 G# a, d+ B[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ]
发表于 2009-5-22 20:27:37 | 显示全部楼层
兄弟说的很详细。  u: G* H' }8 F# p1 T' K
但最终的实现是不是采用MS的那个AP
$ m, a& m5 r1 A' e动态生成VBS脚本,然后执行0 T7 t. ?# `! N# Y5 F# x
上面Debug中那些内核函数,兄弟你不会是自己做申明吧?) i% }5 s' X1 x" \1 _
刚才骑车时仔细想了一下,觉得用那动态生成脚本是最方便的。
1 i; U* V8 N! d/ U5 J+ |如果用COM来访问,我试了去调用,结果总是不能执行。
回复

使用道具 举报

 楼主| 发表于 2009-5-23 11:13:23 | 显示全部楼层
那些内核函数是微软的symbol,怎么可能是我声明的呢? ' U# @4 f" p1 p: `
使用COM API访问绝对可以,请看这里http://blog.csdn.net/hgf1011/archive/2009/04/14/4073457.aspx% |( x1 M/ }" r4 O0 c6 p
这是我写的一个tool,使用COM访问.
回复

使用道具 举报

发表于 2009-5-24 10:39:03 | 显示全部楼层
可以了,附件为C++写的一个执行WMI的程序,可以执行ASL代码了。
- ^# u8 X% n" W以前不能执行是我把namespace给弄错了。
, j1 d' v( ?( a: b. L. L4 Q谢谢各位。

Using WMI.rar

1.08 KB, 下载次数: 1427

回复

使用道具 举报

发表于 2009-7-30 16:05:21 | 显示全部楼层
刚开始学习acpi,收藏了,谢谢!
回复

使用道具 举报

发表于 2009-8-11 11:25:53 | 显示全部楼层
看了楼主的文章,有两点实在不是很清楚,望楼主指教:& L2 m1 K6 P$ M* w( w
1  该怎么把asl文件刷到BIOS中,是否需要BIOS的源代码,还需要其他的工具么?如果没有BIOS的源代码,我是否可以用ACPISCOPE刷到BIOS里面?但是这又引出一个问题,我不知道该把这段ASL放在DSDT表格的什么地方?, t# q& Y# B; j  {2 F
2  我在其他的地方找到一般都是把acpimof.dll注册在HKLM\System\CurrentControlSet\Services\WmiAcpi里面,
& A' ?% Q& `( G0 @* x, l: i我在xp上试验的,我的机器里面没有WmiAcpi这一项,是否我需要自己新创建这一项,然后把它加入?9 ~4 m$ J: k+ s
不好意思,我刚接触这个,很多都不是很清楚,自己在网上找了好长时间都没有搞清楚,所以只有麻烦楼主了。6 m' y  [; W6 }# a1 C  m
先谢了!
回复

使用道具 举报

发表于 2009-8-11 14:10:43 | 显示全部楼层
关于第一个问题,我用iasl  device.asl编译没有通过,出现了一个错误:
  |* o" ~5 S" O# ?Error    4095 -                    ^ parse error, expecting `error' or `PARSEOP_DEFINITIONBLOCK'
4 m+ q# L% g" J% ^但是这个device.asl就是DDK自带的。
: K$ ?0 a8 v9 ]* @第二个问题我直接在cmd里面执行的时候也出现了一个错误:“已加载 acpimof.dll,但没有找到DllRegisterServer输入点,无法注册这个文件。”
$ Q1 Y  R# u9 D# `我在网上下载了一个wmiacpi.sys,请问我可以自己修改注册表,然后将这个驱动加载到系统中么?9 y4 C* l  F/ M! N7 \8 h# Y7 t
好迷糊。。。
7 j+ E# B, W9 a. U6 F2 d$ i4 g
. d1 G( r% ^4 R' m[ 本帖最后由 go_ahead 于 2009-8-11 16:48 编辑 ]
回复

使用道具 举报

 楼主| 发表于 2009-8-11 22:03:52 | 显示全部楼层
to go_ahead:9 v/ }; C4 D; v1 a9 Z- f6 ~! d
使用DDK build wmiacpi code.6 ^# i1 C( B8 b  S; P$ B! Z
asl code要包在BIOS code中,所以需要BIOS的源代碼。
3 a) q; N3 Y2 K" X8 b  P沒有Wmiacpi選項就自己創建一個。
回复

使用道具 举报

发表于 2009-8-12 09:31:51 | 显示全部楼层
原帖由 peterhu 于 2009-8-11 22:03 发表 * K# w8 _  H- ]4 o5 L( _0 `
to go_ahead:& C9 G# @! H5 j7 |% o3 @0 i
使用DDK build wmiacpi code.
6 _" o# g' ?% {, s6 y# V% X4 h* Lasl code要包在BIOS code中,所以需要BIOS的源代碼。
( q) i4 k/ ?* A, W1 j. o沒有Wmiacpi選項就自己創建一個。

  N( Y) X7 \* B3 _1 h9 @' @$ L
$ Y7 i. s8 i/ J) b5 ^0 s( d9 g谢谢peterhu,今天看到了注册表出现了wmiacpi项了,而且查看acpiscope看到了添加进去的内容了。
( d4 ~2 t% M/ W( n- p但是还是不知道该怎么把dll加入注册表, 今天我再试试也许就出来了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入计匠网

本版积分规则

Archiver|手机版|小黑屋|计匠网

GMT+8, 2026-7-19 19:03 , Processed in 5.287332 second(s), 19 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表