|
|
|
WMIACPI.SYS ! X8 ~7 c' r$ e3 I1 D2 T2 z. Z9 `- z
1. WMI Concept
F6 m/ c* ~# D8 x T y/ [, M! }0 i4 t: {9 D9 n' p
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。/ _# [% }1 D4 n$ u; A: b6 g n1 m+ g
9 n [+ c: b+ U! c; a
, a' m1 |2 V. H' O/ C) A- {" g5 p
2. WMIACPI.SYS4 R" E8 h0 O5 ?/ n9 I+ Q, A
1 G) [3 `5 m! J% B& ]5 F
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:9 d! R; W2 \/ k+ Y# ?# X
A.Acpi.sys
$ G) J9 q% Y- [, f9 wB.Wmiacpi.sys& n' D- {; D$ ~- f; g
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。( [9 D6 a0 n0 u) O) A3 [
B).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:( s& O8 I/ ]! |& U+ V% \
: R9 Q# C* R8 |! E4 a3 `9 h8 W w7 @
$ [% K& [8 N J3 b3 l+ j
( H/ A' m* W( |. S Y
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
4 k$ i) [- j4 n3 j d: {0 j& `, b, \) L# \
3. Under the hood
2 e' T! P3 }2 p* ~
. Q5 ], ]) r! i1 |: Z' \" C+ r: |前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
! i3 w/ h6 l% y# a5 ?1 _+ k3 R. ^
* g7 [4 w. h4 F w8 P* _$ P6 g) @/ p) }! \- p# c. Q5 y- |+ g
* f; r% }: x) e- I
图 2 ' q7 r+ c' [8 d0 M% E% O4 f
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
1 p) B, p9 x q3 F$ d2 [- y, w# c$ t
, H3 G- C" q8 n W9 v
图3 ! J0 @6 v3 c& |7 S
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
9 [; u$ v& f0 r% G
) s+ q# w; H4 Z E; C; y1 {) s
; w# h# P3 N# s# o& U! m& |图4 ; _8 k0 i+ `$ Z! a
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
- O( L, [: \ l
' K1 x1 b# b4 @
9 n5 P2 a; Q3 q, m图5
& n6 ` A2 q9 n8 j4 k* u; A, H经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
2 L3 s4 b, `! H+ Z0 _1 N, B, M8 `0 R7 `
1 d7 O, O1 e; P& w2 h
图6 , h# y3 G+ X- b" ^; A+ p
如图所示:
9 V4 D+ K; `" h! @ h3 O( j& W1 r! } K9 y' g8 o1 F
wmiacpi!WmiAcpiSetWmiDataItem
! \$ m. Z) C2 B9 r
3 T& N2 P! d, D2 @0 R3 dwmiacpi!WmiAcpiSetWmiDataBlock
8 g, d+ e" D' E% T( [2 _, j/ f3 Z# [! V' ~8 h: J* o
wmiacpi!WmiFireEvent( U% {0 k3 B' z3 o
+ d3 J- R6 i4 w3 K- _- X" \wmiacpi!WmiAcpiQueryWmiDataBlock! ]! k6 F4 M. F5 v" W
# A% n5 `! s1 ], J6 L0 wwmiacpi!WmiAcpiSendAsyncDownStreamIrp3 O1 I* G7 ^; M; G6 b6 O. d1 R) }' X$ }
" r f( E5 b* }; m# j, b3 zwmiacpi!WmiSystemControl' Q8 X& C: A k% q9 j6 K, O0 H# H
+ o! \ {+ ]& vwmiacpi!WmiAcpiSystemControlDispatch
2 l3 M- v |6 T; R1 m
( ?5 u& T2 C7 t+ m+ Oacpi!ACPIIoctlEvalControlMethod) G! g: D8 {3 e1 s& R
M4 |& y; W0 @
acpi!ACPIIoctlAsyncEvalControlMethod
' L$ \& Z* z. e: l# M0 D' h1 ?. V8 g5 A7 M t
acpi!ACPIIoctlAsyncEvalControlMethodEx
4 |2 u' ?8 `& @* u6 z0 D# T+ j1 E: K/ B6 A1 A0 Z3 X
acpi!ACPIIoctlEvalControlMethodEx& z8 u. U7 k! v0 [2 i+ } Y
$ u8 H! ` V$ S" h
acpi!ACPIButtonDeviceControl& j. C3 Z5 [% |, w
: ^- Y0 P5 N) Q; B. {4 `
acpi!ACPIEcInternalControl8 D4 U( @0 ~4 L. j
N5 w1 {0 F1 @0 t
acpi!AcpiEmbeddedControllerIrpDispatch
% q b6 ^, ?* q$ ]) d3 M& i- b6 U3 j5 D: R
acpi!ACPIIrpDispatchDeviceControl
& d& f3 f2 ~& y
0 ~$ ~5 l: n; L8 [acpi!WmiSystemControl
' W. Y9 p4 k" M/ j0 Q$ [7 d& o2 Z$ @! y- Y/ {7 y
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。2 B& w+ e& g% I& s
- _) {* Y, p$ T) t" M' i, k3 r* W
) Y! }2 J9 Y3 V g1 O
- }' l; N$ O. C+ g3 \' q! l8 i& z \/ a7 N3 \
图7
$ |% L z# C+ h. x 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
9 U" U: C9 L y/ J+ b# |: B2 s$ h. ~& g# ?# c
I9 x0 m' ^$ C6 `
- ^8 X$ @- j( l$ {
图8 0 ?; T0 w4 p- i$ F! ^1 i' W
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。5 G$ b- {2 i/ }# q5 Y
1 K0 |1 h0 H9 t0 Y
" G* o/ K5 S9 X, y5 j* T; X5 ~' p7 p) @7 f/ k5 v+ }
图9
0 z! a# P, x7 H3 p9 f' G' `5 ^& qThat’s all!
- y2 Q2 ?, ]* C1 {2 vPeter ; j9 j$ S) g9 {
# f- E3 r( `9 f7 a; S$ ]' E. `[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了