|
|
|
WMIACPI.SYS
s+ d4 F9 N. E* Z! @# X1. WMI Concept3 k. i, N7 x1 W( o2 ~! n, [, x
. Q" I* ` D# h p
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。0 S/ P) v% ~' w D
q; L% K& K7 u- E/ R$ P/ g' O, D5 }: Y
2. WMIACPI.SYS
* i0 d$ |& c2 X
' h! y* d8 {7 k9 {' e: PWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:3 b% z. Z9 r: `+ u
A.Acpi.sys- Z- a/ ?, a- A2 x% ^
B.Wmiacpi.sys# C& r9 ]+ B% h, Z/ x3 I
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
3 Z1 w' G& d0 U: w! E( q9 cB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
- ]) C* ]- A7 t, z, u* b( G4 P& l R/ l. x1 h: B
9 n# n/ s0 b. `" {6 w
' K. j( ?+ B/ J' w" ?! i' D
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
$ j5 }9 ?. T& Y. K; ^6 t
' b9 k8 J: g5 t2 R) X3. Under the hood
: z( u% q. @5 O6 C& O
4 G9 g8 `3 u6 J. o6 c前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
8 {; R" G; B, e' F/ s0 {, G, k# m
/ m2 q! ~- X0 G. O9 h* ~+ [1 O' Y- |" o0 G/ b5 Y n; ?
图 2 1 j% S* A8 a# f9 N. h# b6 ~
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
* I+ B( }1 {9 B# [" l
( Y8 V6 G' M5 ~$ P, _+ j z, y' ]5 G! v+ E% Y( {
图3
8 Z$ s* k+ J' A; L/ ^" O由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
4 \8 T; o$ {$ T3 n$ m& J
4 O1 |- H: d. q \- l7 |( X' E+ Y+ ]9 k
图4
& U4 |6 h7 @8 f! X! V前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
; i2 r: S+ O7 Q A2 [ O# y* H$ H# @# E
! Q" C9 Q3 |: `/ I' v* o图5
9 X4 I2 s/ E1 S1 `8 s( ~% e8 I经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
6 d8 z0 G& w, L" d
( t* i5 T% n, J
6 U/ f1 ~/ G9 R! _* \图6 3 R; q0 W+ G& C( @
如图所示:, y# b. @( \0 c, t2 [
D$ f4 _0 I: e/ M6 G. S4 Nwmiacpi!WmiAcpiSetWmiDataItem
% n; q6 R# K0 q1 c+ O9 \% j" w j8 V" `! H# U0 a9 y
wmiacpi!WmiAcpiSetWmiDataBlock
9 T ?# M1 c. j! Q: j& n& V. L! C2 Q% o: T8 h4 C
wmiacpi!WmiFireEvent
2 p& d5 t/ J& V& p, h5 w
+ M* n. H% {- m9 G8 D! j1 h& E7 Wwmiacpi!WmiAcpiQueryWmiDataBlock
9 e% K9 o; U* j% G/ T. P0 W( i1 n% w1 c; y, E
wmiacpi!WmiAcpiSendAsyncDownStreamIrp, H% H. S3 M. t) `& w0 v
. q7 G% I) ^( ^- f( C' Kwmiacpi!WmiSystemControl
; i" W% b% W9 I
7 }( k0 U# I& H5 x$ Dwmiacpi!WmiAcpiSystemControlDispatch, ]+ P7 x/ F; m& s
# C$ l) ~ y9 R, y7 I2 q
acpi!ACPIIoctlEvalControlMethod
% w6 |- Q0 Z$ ]4 R6 t$ ~. w ^. }/ u0 Y* I* S/ x
acpi!ACPIIoctlAsyncEvalControlMethod. }8 ^, y. {& H, T1 H4 A: S1 V2 t
' x! h. p, C2 g* N: b/ ^$ a7 s' eacpi!ACPIIoctlAsyncEvalControlMethodEx
L2 x7 d% G% S- B
& Z/ Z3 G/ I2 S: v& ]. }" {acpi!ACPIIoctlEvalControlMethodEx
; `) F' V' w7 v6 A; @8 v- U- i; O5 A! x' N7 \) N' O
acpi!ACPIButtonDeviceControl2 x+ k3 ^! r. A, f6 m
, H& s6 [% U/ P: w
acpi!ACPIEcInternalControl
% a2 R8 J6 `# Q0 e
7 j, F9 J$ i* G1 k( m) F9 E/ Iacpi!AcpiEmbeddedControllerIrpDispatch
, V, X% \- [! a0 T5 O; d% @5 \
" a8 m$ `* Z4 [+ @" P& Yacpi!ACPIIrpDispatchDeviceControl( H' d$ i) g1 D: X/ N' V
$ D5 D, L; g1 }
acpi!WmiSystemControl
! v! L% J2 J8 m" M" p* c
/ {4 o- Q6 k T6 h) A) e这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。) g# k, @" s4 U1 z M0 r
6 w8 m7 `( m ~- f/ h; |. e( i
1 w, U" n. V1 |$ x* H& f
) }6 o8 ~& L0 X0 z0 F
- u, {' d$ z7 f! Q3 ^图7
! \7 J8 ^' ^/ E- @$ I. c 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。4 l5 T* A9 x8 v$ ]9 j# k
# y6 c* C: d# s5 j( Z& F" p% Q/ P; r ?, d, G3 M( w: ~
' w/ Q4 y$ i* l图8
& e* [( T/ M' s以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。$ j. E0 L' ?5 g' ^
( N9 {% y; [3 a( ~9 C# s1 a
0 T& y, Q4 c2 j: X) d* x* {4 Q
' t, r! p" w% v$ T2 i
图9 # r. O+ A1 T2 y3 S
That’s all!
! G+ E$ `- j4 _3 G1 |Peter - E/ [. Y! T3 @% M$ G* C
! n6 Q% C) m" Z4 h[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了