|
|
|
WMIACPI.SYS
: N/ }& j% f! A/ N" u0 F- H1. WMI Concept
) ~. ]& {* m- R6 n0 L p& p3 j, t+ V$ R/ c3 |$ T9 g; M
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。- M+ d2 x% P K2 q1 \
. i" h. n2 ?2 x9 b; j$ x* w9 @" L- g+ P, p# \! H
2. WMIACPI.SYS
[& V( o$ h( F% G
! W4 K1 x8 d2 P( _; ^( b, UWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:! ~8 J# n/ T: N/ m% }; b0 g& P& X
A.Acpi.sys
) Y! p; G$ t0 m: i& m5 ?B.Wmiacpi.sys
8 U) [4 e+ D X) ?; _9 p1 EA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。* X; a1 I' b" [" ]( w. F* Y. E
B).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:& S( h f* v8 j' N% h% H
% ^6 c8 \, @+ n U# \2 y
* n+ |7 P9 B5 F
( t' l$ L9 C8 A& @
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
* l: B9 a* f" |6 h' J: Y4 o
! }3 } F& q# Q& |/ N8 L$ H6 j3. Under the hood) y3 d; | ^* c) t' Y! K# B5 k: U- A
( _% x- `4 y6 @3 b, _2 R' b
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:1 `. B# T" v* {# k: R
1 `, [. s6 ]1 ]! t$ ^% n2 a& H( Q3 X7 Y; \+ b
) C. h4 l1 I+ c+ [% Z! V* P
图 2 ' R$ ^0 _8 A. D+ D4 {5 e. H- X; ?7 G
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
2 u. @ K* H6 n+ r1 a
# t1 ^: w* L: v5 ^& p1 j6 h: I0 o& i5 x4 K! j. ], m% h
图3
) c p! s) ^0 l d" A' B由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。) T" f7 {" y+ N- k
# Y5 W( t6 g8 D( e0 G0 [7 Y" E4 F
1 d) E1 A# U6 [% u( ?图4
# w; @; [0 u! z3 i前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:2 _, e0 J* v4 g7 z) |' A2 u. o
; t2 j' \. {- I+ w7 r( A
4 T/ j+ q9 s1 }图5 $ V: ?! ?8 f% p( e) U+ g7 L
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
2 b4 n h. ]% g, S! W
8 J. h0 t% |! w0 k
7 D, w0 V F7 {3 E0 t图6
2 u1 v: e# s& T: U8 \如图所示:/ Z# i3 b& o( f6 o- i6 u
1 {5 j2 l% p$ wwmiacpi!WmiAcpiSetWmiDataItem
& N* p8 c1 q# m e; Y, a6 M' h
; D' u8 x# s# Cwmiacpi!WmiAcpiSetWmiDataBlock4 D& u4 }+ H9 p3 N/ N# f: E8 R
2 t1 L3 C. k% B4 M: O& c1 E
wmiacpi!WmiFireEvent; g7 T5 D' ]7 v" Y
3 B/ {0 e) l- Q& }wmiacpi!WmiAcpiQueryWmiDataBlock4 m8 a- c! a- l, o
: z& s9 J* X* `% l
wmiacpi!WmiAcpiSendAsyncDownStreamIrp
+ G; I8 C; H+ k6 Q! _& @. b$ y; k, X
wmiacpi!WmiSystemControl
2 |- x' n+ U, X
+ B& ^7 r0 n( ?) I' }0 rwmiacpi!WmiAcpiSystemControlDispatch
/ ?( E+ P: }* S/ ]: q$ P* t! D {% b. h8 h" I1 g D0 r
acpi!ACPIIoctlEvalControlMethod3 k) }. P% D3 U
- G: x1 b0 a; E+ n5 |acpi!ACPIIoctlAsyncEvalControlMethod- ]' l" ~# _2 L P5 k$ ]+ ?3 G
* {- s: L. g( iacpi!ACPIIoctlAsyncEvalControlMethodEx7 H9 n2 L* ^+ N2 A9 G- N
0 ^/ y4 I$ [* S! ^; U1 B. n/ M
acpi!ACPIIoctlEvalControlMethodEx% m- D- m! m, c. o1 A3 {; K. i3 p
0 m& G8 d# C. g$ w. o7 |1 Bacpi!ACPIButtonDeviceControl
1 u2 a+ p) `/ x2 a( _$ Q: h* E# l: d* F. z; u$ P
acpi!ACPIEcInternalControl
- ] U* M8 P; }3 M5 K6 l; L5 o8 q5 G' g0 s- U: V
acpi!AcpiEmbeddedControllerIrpDispatch
! z. I4 y$ u6 n, s* o/ e. y) l9 ]; l/ Y$ f
acpi!ACPIIrpDispatchDeviceControl
% p7 P! | O! S' k6 g: v' D% t- C: p% ]
acpi!WmiSystemControl
% d' C% S2 X O" Y8 O$ ^ K2 U8 m+ n' F; S, m5 C: R- P
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
8 g0 V' J2 v8 u
$ Q1 E( g4 y* {% w& f) k, k+ i) _5 G; H2 _; Q) t$ E( t3 A
* v D( \; K; _# j" }
1 W, U# N: s7 y+ J A
图7
0 @5 C" I4 b" f+ w2 r 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。8 H& M' [& W9 P6 L& j, } _9 O6 Y
0 _6 p8 N' I- Z8 B( L: Z7 O) X* b: t* e
& S5 m. M- y. |# l" g c( A5 c s
图8 7 M& b4 z& Y& ^$ f( l4 f5 t% ]! @7 ?, O
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。3 m+ ^: X3 ]3 S; f' p) f5 N
; ?* Y& G6 r1 E2 ]) w; f% S
Y3 [; |2 T; v
# l* t1 t: ]6 m" H$ X, b7 d图9 1 j* l/ k" h2 A$ P2 s2 H
That’s all!
6 x6 V9 @! W3 t: g5 G" GPeter 8 `( H6 \5 ?3 Q( \( ^- Y' c
5 ]& ]9 X/ {* @% r4 i# x3 F5 U[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
" }% D3 U8 l. |6 ~, U
今天我再试试也许就出来了