|
|
|
WMIACPI.SYS 7 z- B. S- h' \
1. WMI Concept) \8 _- [ R1 z- n/ ^" e
3 G" W+ d1 C0 l g" mWMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
2 Y. i5 X3 q/ R9 ~0 R' n7 b1 V
9 i8 q/ {% j( ~! f; I' t9 B: x8 G( M) w; }% J* Q
2. WMIACPI.SYS+ F" k9 X/ X8 ?9 Q; t6 m
3 [: t, A- c6 `8 x/ ?
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
4 Y8 U- e( Y# _/ b" U9 sA.Acpi.sys
! R( [6 ]) j% o+ g; r h& S# uB.Wmiacpi.sys G9 D5 F: m/ i
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。+ z3 U: \! B2 _. t2 g0 [
B).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:4 v @" H1 T N! v& Y
7 s8 P0 Z! q! g: x: O
H1 Q0 w, n6 ?- f0 {
3 f# h/ P$ s( T- s! h; c; i2 y
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。1 M1 j, f9 W f+ q
0 L# `' A5 g. @$ v
3. Under the hood
% A1 j# N0 |! B Z1 w" C! i
4 e' t9 U; s0 K3 a. k前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:6 B" |+ }6 K/ L( l
" R" C7 J2 J# ~* b4 g) |+ T
/ _" t$ T( r/ E: I2 h) h9 q' O
) K* W5 w& Z% O2 b4 ^ m2 S3 R
图 2 - v9 M" I) S0 J1 F) @( K
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
% W+ a" y* U4 L: U; J& t1 ?( T" y2 J) ~- p+ q
+ j' B$ b3 k/ B7 `5 o" r' q) e! u
图3
* H' f5 v) g. |1 \由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。0 ~9 x R4 K/ A9 Q( _2 p( Y
$ o2 t. n4 o- {+ _# M* C2 H$ h
5 @* b! P1 k& w' V' |3 z1 q' F图4
6 R# @1 |6 {' ~2 Y- O- u J; r前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
( v7 h; V! X% P" R1 V; a. i0 n; }! A$ t. {
9 L/ y) I- y/ h% ]) z
图5
0 N6 |: o7 V* H6 A经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
* a( S8 n u5 M; B+ g7 o7 t: A3 u
3 P5 I/ [# F4 W2 t, { _* N% ~" P2 i" d3 b
图6
0 ?5 d' ^2 s# b' K4 d如图所示:
* Q H- Z; n( D
2 X0 ^. i( T* G1 r& R9 A, L$ w8 Uwmiacpi!WmiAcpiSetWmiDataItem$ P) d; {: T: o
% w/ k9 ?5 |4 lwmiacpi!WmiAcpiSetWmiDataBlock7 x7 k6 G4 U3 a$ [- n
Y7 S# N1 h# Y, [2 ^5 ?; cwmiacpi!WmiFireEvent s" f {& j' S$ G y
3 j" z4 ^: H( d3 L' a9 g% P
wmiacpi!WmiAcpiQueryWmiDataBlock3 r* c) i+ Y( x+ i b6 r0 V7 Z) ^
" p; g# ?, x3 v1 ?' q2 d) ^- J( k8 Q
wmiacpi!WmiAcpiSendAsyncDownStreamIrp
/ h L% Z9 b1 I& o
/ b/ ] s4 a' |9 W$ h! Nwmiacpi!WmiSystemControl
' F5 t. q4 A4 {2 u& O! Q
3 X) V4 X7 r; A2 [2 T: a! J" jwmiacpi!WmiAcpiSystemControlDispatch; V9 ]/ B ~/ f. |1 t7 Y
+ K) o) S3 Q# Q* Y
acpi!ACPIIoctlEvalControlMethod
6 B. s1 ?! z& P( R0 S* z
5 B/ ? Y& o6 C1 h4 ]. n- U0 Pacpi!ACPIIoctlAsyncEvalControlMethod0 H) v0 R; X3 G. ~2 F g
& s- l, K9 I' |9 H
acpi!ACPIIoctlAsyncEvalControlMethodEx& M( r' a# I( [1 ]9 g5 V) W
, Y# H2 @' L' ]; ?1 r' q
acpi!ACPIIoctlEvalControlMethodEx
; W. p* V+ N$ p% r% v- H. \
7 w& Y* n/ l1 [$ Qacpi!ACPIButtonDeviceControl
, [/ R* v# _. {4 Q1 `5 k5 ^4 d5 R! P* B, O% D! ?; `" D J2 a" P8 Z
acpi!ACPIEcInternalControl
9 j& L& S7 P1 c7 r: x# p
3 x5 q+ m, c5 d& ^, v* Racpi!AcpiEmbeddedControllerIrpDispatch
" t/ J2 p; ?0 B7 o' s% I# R* ~6 ~5 a$ @& |
acpi!ACPIIrpDispatchDeviceControl
# j) \0 w/ W! l' _5 v% W4 z7 M3 x# r& N1 K; r3 k" p1 i6 w
acpi!WmiSystemControl" u' o) |( X. A* i6 n) `
& E2 j, y4 A' T7 s这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
1 ?& ?) ]1 S N0 s: T9 {$ d5 q
) W: f' U0 w" ?2 Y8 s( Q- ?- `- Z3 e$ B* g' `) ~, i
3 e4 P% [6 i4 l% ~$ a8 i" p6 p* k
0 O# w7 Q. U, v- x. r! \4 F# K5 f
图7# {9 O- p/ M$ Y9 {$ a @0 c% G
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
2 G) c$ S$ r9 g1 x1 y g* ?% }, C7 N2 j* s) ?' g) f: d
" i1 K) D) y0 j
9 u7 ], K, w9 M# g图8
, {. x8 N: ^- Q以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。
& c2 S6 {5 w! [6 W. I% z. o* R% i
- c( M; K3 r5 B5 ^2 A. x
4 s* j3 Z8 v' R, |( P* d图9
# I8 S& ~; V$ Q, }% {That’s all!
+ s' P% B, e# \% G. HPeter
) U8 g4 X' r. u. C5 b. Q( D9 {' ?. L9 I- D$ D
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了