|
|
|
WMIACPI.SYS # ^: {! W! R8 n/ o d
1. WMI Concept" t0 H/ a/ u6 F
$ b+ m8 g+ c6 @, k
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。( a" u k# H4 i s
6 K6 L5 O" \$ K3 L% j' d& b: g
6 j( \2 t" g( E O( b( T/ T2. WMIACPI.SYS; }" |! l, i" i7 F: E/ [4 @
( ^2 b! x( s! W6 L9 O5 D7 o
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
% o3 T% b3 t: }1 ]: |A.Acpi.sys P0 q7 [& a. @
B.Wmiacpi.sys
+ }9 w0 F, \7 K! P. t+ m9 ?5 QA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。4 N6 H; Q- q% {6 f) D M- s9 Q
B).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:* M: r! n, V! I. Y0 u8 x" N; T
. b. H6 I- ^$ k) {: }$ d
5 G A2 z. H' E# z
/ O# a3 }+ \+ {" B) x1 Y/ S当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
) G' |, e/ M. d( _- B K* j; a, f0 M" G- e
3. Under the hood
+ a; {8 F3 e F+ F! s/ U/ m" j0 ^9 r# X- h: @* a7 q
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:3 ?; w, G0 D) }8 ^$ i( v+ s
. m! O* i! e. \9 R' G, J, k7 R, O) @- j# b' m5 L
: ?" }8 Z C- k3 [" _$ E7 z" W图 2
8 u' z2 f) R0 |0 T9 L图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。# A* z1 V" \. a$ {) G, w
% y' l3 \) b. s; |( ^5 r$ p9 t$ S
- K, {" C# b$ D- r) o7 A
图3 1 ~& e- L+ I$ k8 D5 F
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
9 \: @( q6 a7 a4 c. k- v
z$ t: t2 Y$ Q% X
& t2 {- @# T( B- q) p- i图4
8 \& U$ |' c' b8 P& x4 \前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:4 q" ?' ^& B8 R2 v3 ~" B# m
$ { v$ t0 Q# e! O: k9 [$ P0 U H, W- Y- h
图5
7 @5 f9 m( }- u1 U _经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示: N* D: u1 m; V, E7 e/ f
$ _5 Y% o! X. x! r2 R* M/ e( Z* D2 M3 n/ A' m
图6
3 N. B% d/ Z6 h) r! }+ Z a& t- O如图所示:
+ Q0 [) @# T$ P, q! E# T" k9 d/ }5 V" D8 S, g$ }" p) S& m
wmiacpi!WmiAcpiSetWmiDataItem# }8 V, L! P0 R w
* d. e0 \ G2 p; V. Iwmiacpi!WmiAcpiSetWmiDataBlock
1 ?, L; Y1 v! n1 G+ {- v+ d3 L( s; V
wmiacpi!WmiFireEvent
' E: c/ C0 b) ~3 I' d; r/ Q- t- F% ` V7 U: n" ]
wmiacpi!WmiAcpiQueryWmiDataBlock- l' B0 V8 a1 N4 o1 ?2 X
* }# b, v3 i3 J, ?wmiacpi!WmiAcpiSendAsyncDownStreamIrp
$ k, s3 ?) q/ u: J# ~% f( O) Y J& Z0 X9 K+ G$ S9 B( u8 A( t) t) ]
wmiacpi!WmiSystemControl; b1 g, d! W' f2 g
) i: A: P: M" l4 ]# ]: [- G0 H- p( F
wmiacpi!WmiAcpiSystemControlDispatch6 ^3 Q8 w0 }& N7 D- G
# C; X5 H+ |; Xacpi!ACPIIoctlEvalControlMethod
$ c; }" p" L( l- c0 S1 D5 G. j# D8 y! D' e8 l J, J4 p
acpi!ACPIIoctlAsyncEvalControlMethod* g' v, V7 ~- s3 y4 F( H
% Z5 Q% z. S9 _9 m qacpi!ACPIIoctlAsyncEvalControlMethodEx
' H0 g6 ?$ a8 |; |* s" e% @; ~3 `# a" c4 ]+ q$ M. m1 P8 M/ m
acpi!ACPIIoctlEvalControlMethodEx
) @0 ?8 D' \7 f6 m# Z9 ^
% X$ I1 y, c7 {, M0 d, Z gacpi!ACPIButtonDeviceControl- r1 k. j; z d5 Y
1 x. l% |7 M) W% k: e8 _ x6 s) kacpi!ACPIEcInternalControl
. J: r- z5 F0 [5 \3 X- j6 E. U2 q. r( G i8 b1 N7 |! Y+ R
acpi!AcpiEmbeddedControllerIrpDispatch
1 Z$ W# x. Z8 p8 q" E" A9 M3 X- I% @; r' v
acpi!ACPIIrpDispatchDeviceControl
6 a4 l. [/ Z; ~
: x5 V2 @/ b' r/ b6 l6 W4 |+ Xacpi!WmiSystemControl! G) D' l; T: P+ F) j1 o$ P
0 ^* Z3 [. T7 M9 R& `' @7 k
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。2 m$ e1 N8 G0 K5 O* e
4 t1 ^; q1 k4 s/ t$ X
& }: H4 [" h' `, |5 o
( G0 `+ l/ ~0 Z. n7 q( C& {2 I' b0 C" D- L
图7
0 o* v$ |: d0 e0 | 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
+ t/ h) L5 ~/ T" ?
! V4 ~- [( o& j! C* u" A/ {
' [: r# e' d* Q( l- A
G7 t$ {% W% \# Y图8
7 k. u& ^& s2 o; E* M9 A以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。/ Z( I3 F+ F* l! ^6 [7 Z
+ I( K' S1 v% O- |" z( n
7 f5 [1 `+ w- [5 X2 w8 h, B" N
% t8 [+ l$ M8 `; Z
图9
9 c, H& K+ d! cThat’s all!
( l/ ]8 t# u& g3 uPeter 9 r9 R7 k; J F
$ h+ k4 V9 G. Q
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
: d4 y& P6 _3 _
今天我再试试也许就出来了