|
|
|
WMIACPI.SYS
" D" v& n' x2 K; x- ~& W6 F2 v& @! Y1. WMI Concept' Z6 x, g, Y& P4 t8 C
0 i+ k( N3 }+ s0 |/ ~
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。! c# z9 i9 Y# w& Q. l7 M1 J6 Q
9 O& ?4 ~+ }/ v" I3 i0 N6 i5 H" T! Q, F3 {
2. WMIACPI.SYS' A' U( @4 t: _' ^& S
2 ]8 t2 h; d; Q2 @; M7 g1 J# m# ~
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
" ?4 X |3 V/ ]" x- [7 eA.Acpi.sys# O- n3 [/ Q3 K* T9 p n3 c
B.Wmiacpi.sys1 [5 h7 s1 l4 p0 O
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。% s0 ?( J8 E2 {
B).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
- }+ K7 @6 c& A. D8 \
; K% ^. E8 @' j1 L
4 O2 R7 h$ l# O# K
4 ` T1 h! j2 S当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。" E9 ~+ U! \' G) Y7 d3 V
% Y2 k1 u# O$ s2 K% m
3. Under the hood
+ g3 L6 f4 U4 x: T6 h6 ]0 E2 {
& ^% n8 \* H' J& M( ]前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
, J& `7 Z. h. N! L6 ^: `8 b" O* z# H# ^; S' K* S! ]4 I
: [& E# }/ f/ \+ B8 I+ \3 v
8 F5 \( v% }& p: `8 R; m图 2 * H' M5 h) g7 h/ {" i. {
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
( p' R _% n* u+ T" y( N. s$ h: u
) T$ Q; c% }7 r, b/ Z
- Y- {% E U" I* \图3
7 ]4 I$ }% ` D- i由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。1 K3 s) T% H% r* r2 q2 Z
7 S# G9 M/ D5 `8 _$ F* t! h8 i; b; A4 d/ m }$ O
图4
/ l# U3 C% W2 F8 B4 M0 k前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
0 U" T: T$ i. K' }& G( E
. P1 v7 ^* Z! }; H; k+ z# h! o" @) {- O3 x0 z4 G$ n5 A6 s
图5
- j$ C! t2 w6 j6 w经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
) h+ s" H7 H- ^9 ~* f" Z) T( o6 L8 X9 \
! @0 F& N+ _6 t
图6 % [% F4 t" _" ?: p
如图所示:, l$ Y( [1 |. D6 q# n G2 g7 F
: g2 ~5 Z/ w2 f1 O9 Y, A1 Y
wmiacpi!WmiAcpiSetWmiDataItem3 G9 X- h9 O5 Z, j4 e6 u- R
1 V; [6 T }- Q
wmiacpi!WmiAcpiSetWmiDataBlock
5 b0 H2 D u! U4 ~9 G' u& L: r9 C N5 G! W' |- X6 @" }1 e8 J# h; T3 H
wmiacpi!WmiFireEvent
0 `6 S3 \( ~1 |8 Z( E; l: z' s" \$ V% X( h( H% I' n) b! \) j5 a
wmiacpi!WmiAcpiQueryWmiDataBlock
; V( A4 F$ j0 ]: G4 W/ o( `: Z& \- R' p5 f! ~
wmiacpi!WmiAcpiSendAsyncDownStreamIrp, ~+ W5 c; k; r9 h/ X4 F: a
: Q" C; U1 A( l. ?3 Z- Wwmiacpi!WmiSystemControl
1 ^% w6 b5 H( z* c' o/ u$ p
. H; K3 ?9 \6 i w+ iwmiacpi!WmiAcpiSystemControlDispatch" A {* j9 ]" ^6 Q& p" V. M" M
! f% F: k* ^- ^ [# z
acpi!ACPIIoctlEvalControlMethod
. o) T, g$ N9 U% [7 y3 C. u( M! D3 x* o
acpi!ACPIIoctlAsyncEvalControlMethod
- O) l7 K& E1 C {% H8 m9 C& b
% b& G4 {6 y8 Bacpi!ACPIIoctlAsyncEvalControlMethodEx
3 B- J3 e) v; K
e2 b) Z7 o/ iacpi!ACPIIoctlEvalControlMethodEx
0 a% F4 h) v" r0 ?3 z
* i3 E7 r9 O* _( e/ ^. l" g( \acpi!ACPIButtonDeviceControl4 x l: }; I, O4 l8 b7 q# l
& |3 ?6 {; |+ ?9 f! E6 |
acpi!ACPIEcInternalControl1 z, p5 n) d5 G* _+ p3 Z" i( i# u
/ t# b3 f8 N. }6 X
acpi!AcpiEmbeddedControllerIrpDispatch# o# B4 F C( ?1 @2 R4 V/ Y
; U4 Q i, E/ Sacpi!ACPIIrpDispatchDeviceControl& X& B2 A/ [" w* k# k. k# @! e' {
7 k, ]' o& G" f/ \
acpi!WmiSystemControl
; i$ M& o0 z \/ h% N, F# m4 S; p
/ w Z/ s; Y* v2 q8 F4 a这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。1 O" x% A3 @3 v# I* M
2 z2 X" G( ^' d& B6 x- u: \$ a8 p8 g$ K0 n$ M& {
; _! M, O: V. s, M9 F$ m8 ^; [5 E. ]+ ~& T6 ^+ k3 R
图7
# m( n0 |7 |3 W# o 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
3 ~" V" Y2 C# e* M) _$ G* S6 e, [ z/ s7 X8 {8 C. Y& q7 |- f
& N0 Y9 ^8 {1 u
! }& i) i7 V6 h3 k图8
4 ^. D+ e; ?$ W2 l0 s# g以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。# H( E1 ]) ~) f3 ~- ~8 \
7 X- }* u0 j2 I
% g* B9 Y3 I- v) O" a* k3 _1 F0 j3 a
图9
2 m& |- F. U" `% |, S! _That’s all!. @. R3 u+ A7 [1 O/ ~; ~ G6 m
Peter / [6 e1 {. ?2 H9 [; P
$ v5 y. p( H& P
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
/ g$ A: H2 S! s, s! Q( F4 S) W$ \
今天我再试试也许就出来了