|
|
|
WMIACPI.SYS
9 u( \, r0 P+ T/ l1. WMI Concept
- I0 g% e' \/ H* e% ~# m3 b, h" ?
' e6 R' g* A: M& J% J+ G2 j( R7 @WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
+ M( c7 X E; i4 P5 U% B6 d* ]' z( \; W/ S) ?
# C, l. _ i0 J9 G |* u" T2. WMIACPI.SYS& d3 c+ h6 r/ D! i- `7 E
; d1 t$ {2 Y! ^2 O! D! mWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:1 x# E% K% ^ z2 b5 j+ Y9 S! y
A.Acpi.sys/ R( L$ w! b3 j& H5 [/ H
B.Wmiacpi.sys
, I7 ^. d9 O: G: w1 ^9 a; S$ qA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
8 J% @% S+ z: v/ i, V5 W: BB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:" U* a# |4 |; j/ S% J
# _- e& ~% [- k4 O
& A. K5 z( O/ W$ p
|" s1 n& f+ U8 C
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
/ m3 m# r- i4 w' M" f# M) w" {/ |% @$ U; e9 I
3. Under the hood
9 G; C; X( l1 E+ K) N
* J; L: U' M! K) D. c1 R前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
. C, L- h/ Y$ {! K0 P4 ^" c: s: t6 w4 v
/ D( O& c0 Z, H3 U( t+ k7 c, {6 C+ l3 H* W6 N1 ^% e# p2 f
图 2 / Z$ `2 }$ Q0 F1 T* O4 M
图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。) U* e* E, _# j6 `9 C1 H* w- m2 _
* H2 q4 r" W: W! g2 B2 t$ B0 W) _( m1 A0 |9 O
图3
" H1 v, w0 g! E e9 ]7 _: s. O由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
$ Q4 J0 e0 Q; e: z# h* A
+ ^* y G# n2 T+ ~' g& _; b" J
4 ?# Z5 M/ W6 C% U$ @图4
$ V+ R4 k# O) l3 m& O( z0 L; M前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:+ A% |1 ^& A1 N# N& e W3 z3 q" X
( }# M/ k* C3 K% b0 p& y/ D
6 X2 ]5 N& m1 S6 L图5 + `# Y4 H, Y' w
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:8 r. J4 a9 D, K+ C! t4 e" P
9 U; m: }+ B" _1 h7 o# F9 q4 L' y- V+ \/ h9 o, R4 `4 K% T7 u6 z8 V. U
图6
1 ~8 u R$ V n3 C$ Z8 c w如图所示:
; {4 o! _4 l" `$ c
$ ]9 @4 n- g; I- m2 Y* g3 ewmiacpi!WmiAcpiSetWmiDataItem" u7 f& e1 y5 h8 d/ a/ U0 n
1 B# Q" s, P' f% i1 h6 ^wmiacpi!WmiAcpiSetWmiDataBlock/ c# c6 z# k: ^; \
+ ]/ o( C x7 |) c$ k3 R! n
wmiacpi!WmiFireEvent1 F" h" }5 v5 A$ |$ v8 t' I! t
+ b8 i; S) o4 h* s- \wmiacpi!WmiAcpiQueryWmiDataBlock% g- n4 @$ p; ]/ }
8 K. z/ s& w+ v3 B, Rwmiacpi!WmiAcpiSendAsyncDownStreamIrp. N' ]) c9 ?/ n3 M; v Y
% }7 c0 @+ a/ L+ `
wmiacpi!WmiSystemControl' A- M, C" V- _1 m+ h6 }
# W/ v8 z' z+ F) L
wmiacpi!WmiAcpiSystemControlDispatch
+ p: L) R8 w1 }% @, H+ d3 v5 b" D5 d- `! Q' A5 T" B7 K& ^
acpi!ACPIIoctlEvalControlMethod( N5 Q" Q; X* I! E' w# O
+ T/ a1 x" T" D6 A
acpi!ACPIIoctlAsyncEvalControlMethod- x1 c6 p( H) A. V" w3 E) T* Y2 e5 F
) |7 O( s: `+ n1 F/ y; ]9 facpi!ACPIIoctlAsyncEvalControlMethodEx
" @( a$ P/ t3 E- J$ H% M) Q- R
I7 b, t% c6 y, w) c0 D0 Iacpi!ACPIIoctlEvalControlMethodEx
9 T5 V6 O- _. [% h3 X: m$ k% ?8 P/ f5 i: y2 N" M$ V6 h3 n0 n3 |, T* k+ n/ F5 ^
acpi!ACPIButtonDeviceControl
( x1 s( a- K; G3 z4 Y4 ^& i; \' g5 d7 E7 X
acpi!ACPIEcInternalControl
3 s+ ]3 U; U4 ]5 L1 v: i& M) `4 y4 w8 L
acpi!AcpiEmbeddedControllerIrpDispatch* H5 N7 }& j, C: Y& s5 M$ Y! p
" a0 d- E0 |1 @7 Eacpi!ACPIIrpDispatchDeviceControl5 Z# O7 N+ a9 g5 E
5 k' p1 C3 Y F! d/ }1 h4 U$ kacpi!WmiSystemControl
" j" O9 b7 ^: l5 f' A
# O4 J6 Q2 B, V6 s. ?这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
3 ~8 v% M2 X' v9 G8 B. Y8 [5 M0 A* |4 ~/ f) x% j' i
$ X% Q7 L1 u8 U0 g
/ k+ L* d" o4 [5 n
8 @' I5 k' G' @1 d/ I$ @7 E; p图7: c# D! T8 [8 q! ]4 C
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。7 S2 G W, l: |: X
5 i6 f2 T3 n, ^9 J1 g M
$ C3 p+ k; O. } g+ R$ }, p1 f+ V4 g$ H% B5 S
图8 : O8 E3 T- a$ G. }4 U
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。% y; R+ ~7 Z) g
; A+ `! J* r" S! q( l2 U, o1 N
f) W4 ^/ E0 ]4 j
1 w7 N7 C4 B/ J2 y图9 + O1 `6 d: j2 k' C4 b. }
That’s all!: n' j, Y5 K5 o, r* _: p
Peter
+ u# R2 C' ]( Y# W8 C& B/ U
0 y" u9 p. Z: W$ U[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了