|
|
|
WMIACPI.SYS # e9 f+ B% T. v0 s' f
1. WMI Concept
; ]8 c, C6 g6 i9 O# C: D0 q6 Q, @/ ~" c4 Y0 O+ c
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。- t8 p4 f: M! F( N2 c
- x5 J3 R* m2 n l! Z0 E! W! t/ U& Y1 v: `
2. WMIACPI.SYS$ @1 l7 Q, m3 F P
: j9 P2 F" T; k- [, _/ h( F- Q
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:! p8 e/ M; x: K: u) `" |
A.Acpi.sys, a, _% T1 @4 T
B.Wmiacpi.sys
6 _6 ~* U- f0 x q) xA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
' M" m; z" R+ [& g2 b# O& wB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:+ b: e# C# g+ u
0 O' C6 C: ?9 ^
) ~# `; |/ ]% O' V4 j! a8 E7 T* s
9 t! |( [8 E5 m! K! j0 i当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。) d) p9 R3 h: I3 j7 Z4 ? |
; k) ? d3 a0 A+ u$ z
3. Under the hood
6 r+ J, }! N9 E+ ]% ` z( d( v- D7 f. y# k$ r% R1 U9 p/ n# D2 r
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
2 A9 V8 l* B/ Q
: _6 g) I1 k7 B' ^. b
' \/ U/ z% p6 c- U) K" J. m# k- c% M ], f- b
图 2
) p1 o6 g4 q$ H& T4 O- o图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。% G8 h# D/ s) y0 W6 _8 _5 P
j' L6 ~" i4 m2 e2 e t8 H% c! C
9 n/ | J: G* ]% O/ d e& I图3 2 K$ l% o% M/ a2 {
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
/ {& l- y& ~- B9 E! D" a3 R) X& z! P) q5 H4 W8 g" H
- s! M5 [2 f( s$ o( W4 D7 b2 S
图4
* A5 V% P1 ]2 e8 }! A% B$ _( H前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
8 w( S0 r/ N" w" I5 Q% g
' ?1 v) g; d" V
# H) y- B& T( Y' s5 t7 b图5
3 ]9 t4 A) P$ B6 Z0 @经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
- o% ]8 B' `2 @6 C9 P g& x4 M5 A/ c
( r; E( ^/ @. `5 e8 ]" K图6
$ W+ d* h: i' o1 |6 m1 R如图所示:9 N4 ^/ f9 \. X
( ~% k/ s$ I% D7 }
wmiacpi!WmiAcpiSetWmiDataItem
# d( u8 x) m4 ]. Z
3 o( y- j1 D Lwmiacpi!WmiAcpiSetWmiDataBlock
x! p! v/ K7 o, X& g! g
" a& h2 x6 C# ?" ^4 Wwmiacpi!WmiFireEvent
8 z9 I m0 P- D' I0 ?/ J
8 B0 Y5 {2 |9 e4 G$ ]3 l1 ]) p jwmiacpi!WmiAcpiQueryWmiDataBlock0 e! b3 ^9 I/ Z' s
9 ?5 }6 Y; l6 c8 R7 N& bwmiacpi!WmiAcpiSendAsyncDownStreamIrp
( t- ^" J2 M. @# Q$ r# [; U, s3 h0 n5 X% {/ v6 `
wmiacpi!WmiSystemControl: y6 x/ L! L6 K* f
- w3 o* f2 N1 z1 Owmiacpi!WmiAcpiSystemControlDispatch* b/ h! T n( y f1 K9 j' ]- ~
( c9 b& |1 S9 U% M2 n$ C0 xacpi!ACPIIoctlEvalControlMethod5 F I U3 }. W$ ]' o; q2 O: |6 T
8 S$ l. Y4 j- b/ s: _acpi!ACPIIoctlAsyncEvalControlMethod0 c9 I7 X% O( x& S" Z9 l" Q& k
5 ]% W" V, Z* ~* {acpi!ACPIIoctlAsyncEvalControlMethodEx8 l3 Q# d) t, ^8 M3 i; | l
8 G5 g/ q4 B- g9 Bacpi!ACPIIoctlEvalControlMethodEx' ~% L" i+ [5 O- `# q
8 M! |0 Q0 I% d+ K8 y; A, O
acpi!ACPIButtonDeviceControl
% H" t/ j9 n5 s1 h! \9 g) L0 D4 q1 n3 U2 C9 R
acpi!ACPIEcInternalControl9 u4 D6 J3 B8 _
) Z2 q7 t! |- }- L. G0 Bacpi!AcpiEmbeddedControllerIrpDispatch0 b# P$ d1 U! V3 G0 F
! t9 [! p, K5 p& `& A& A2 xacpi!ACPIIrpDispatchDeviceControl* h5 j' u$ }: k+ ]2 h9 G
( p/ u& S# H8 V1 C. j4 Uacpi!WmiSystemControl" [5 ]- `: a- @+ ?
q6 I# s& G- c这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
4 P) @( L4 f# M
9 O6 S$ p, D+ ~) n* X5 S( Y! g3 e3 z6 P. c- b
+ U+ e2 \- Y/ S
6 p. J9 c7 p- C- y9 z; }图7 f- ~0 M0 \- A5 j! u/ }2 R& e
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。+ D6 J" b9 V) }, V' ^* W
1 j4 @) `( ?; \2 Q2 v0 C: @
8 j3 x- w& G M
5 {, u1 h. _2 |
图8 L& d! }; K5 C5 {: H0 o8 L) f
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。
9 ?# s8 Q1 j9 j+ o% C% T
$ F9 k2 V6 m$ {+ h' L) ^% N% U( U
5 g. n1 x5 |. i! z3 \& y
8 i+ k( m( J$ J. i图9
9 P B0 d* t# K; M: N; SThat’s all!2 b' l6 _* L/ V" _9 I0 c
Peter
( N( @& D9 m+ }% _
! R2 W# h5 j- i[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
! c* U6 B V' x, ?, s$ R
今天我再试试也许就出来了