|
|
|
WMIACPI.SYS $ X9 {& }/ Y# R, Z- W9 ]$ X
1. WMI Concept
, G; Y( I% p! g% a% j" b' T
* w& G2 i, m w- |' fWMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
1 B+ C1 s3 I0 \. I; E% R0 \- `: n
) Z$ b% A' Z' P2 ]& n# W, \. g2. WMIACPI.SYS
- e; M7 X. R e8 \. ^1 S7 s: m
- T9 G+ p% T4 ~' M' e# b3 YWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:2 l( _0 \) w0 r1 T
A.Acpi.sys
k# g7 L# R sB.Wmiacpi.sys' G$ ]/ b. v8 @& [" F; K" @3 I
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
l0 `; X1 _1 L+ t8 N) E( L' DB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
3 q! c! e/ h- w; ]* Z
- x& Y0 r) r1 z. F0 j, ?/ a
) h3 I0 M) Y ~
: K B7 Q! Y- Y/ p5 w
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。6 o Q( ?" D4 l F8 v5 t& {
1 `' M g' v/ I3. Under the hood8 f T$ P4 q8 ]* |
& }+ |. f" n. p U4 I
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:2 X9 i# {0 L" w& \1 K6 H
' g3 A! R7 u) D3 ~1 ~1 K4 j
3 `9 z: E9 L0 j3 i: A5 ~
2 L# U/ f) z3 L1 W. w
图 2
' V; W4 _1 M+ d# ]" J# d( E图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
/ ?! r# A% }& d6 \) j, w+ k3 y4 e* O3 H6 @: u( i2 }# _
! D% D: L, K+ b, h1 a6 z图3
, x4 N; j; f. u! G! I* p由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
$ E- r, K3 h8 _$ Q" n' k2 z5 t1 A: P
4 M5 [- h- M/ l! ^* G
图4
" V% Q. m+ R7 z+ B前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:! Q0 B" k4 M0 h) p: `0 S
, P1 @ l6 ^" A& Q) l0 w
' m8 k/ h* T* j) X1 _5 W$ X# X9 n4 W
图5
, n& z$ p* a) |2 |经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:, n) i6 x, B' _6 T
- c( {/ {; a% a' ]# y0 t9 o
9 v. x n; x- Z# G图6 0 ]3 ?# I& z7 a
如图所示:# ~, q: Y: f7 R6 [ L, x, u
4 k) O8 T; G" k# \9 ~
wmiacpi!WmiAcpiSetWmiDataItem
( p% W% Q# x; m8 E# m. b$ w% @6 T7 O, B6 u
wmiacpi!WmiAcpiSetWmiDataBlock
/ \8 d8 W# E! S. e8 `4 t/ C. I$ R: m6 K* P, |) h8 S: }
wmiacpi!WmiFireEvent6 ` p2 ]& i# Q( L" E6 d' Y
* O: r* T+ k9 r- e1 uwmiacpi!WmiAcpiQueryWmiDataBlock2 W1 N+ |1 g9 h- g; \4 t4 E2 E& X, n
4 |. ?$ @ u6 y6 m$ x; |) S
wmiacpi!WmiAcpiSendAsyncDownStreamIrp
' D3 ?( m9 X4 h
! o8 S7 V& B) t4 `wmiacpi!WmiSystemControl
) M$ I v8 ] p4 N
# B# V7 W# q7 J( Q% m( Xwmiacpi!WmiAcpiSystemControlDispatch8 l9 ]7 N: {) Y" [! h# C4 i9 H
& B* f& M3 o( X! {
acpi!ACPIIoctlEvalControlMethod, F d( X% u$ Q2 B' N& B1 M, Y/ j. V+ x& A
* z, M1 h* V4 O
acpi!ACPIIoctlAsyncEvalControlMethod8 ]. m6 s9 ~1 _2 E5 D
' o1 ^2 f9 Q) \/ r) pacpi!ACPIIoctlAsyncEvalControlMethodEx
/ e- M) n! P2 w5 k4 G* f4 n6 K' S( U6 t/ x
acpi!ACPIIoctlEvalControlMethodEx8 |& {9 ]) D( n% {, X7 w- t
1 X2 Z+ u8 G( G- ~ A: N3 Z2 Qacpi!ACPIButtonDeviceControl$ p* O$ I* U6 F- v7 r
" F9 V5 b( c- r$ i5 v: f2 P" d4 |
acpi!ACPIEcInternalControl- y' {7 T& ]' C* W
& w! z) l1 d5 n/ m/ Cacpi!AcpiEmbeddedControllerIrpDispatch
9 O1 ?2 c' R( q3 V% x( L
1 t7 S8 G% w( Xacpi!ACPIIrpDispatchDeviceControl
: {2 d. A& n5 y8 q4 _" I$ G$ w
+ \5 v+ A0 d$ A9 m0 }% o4 ~acpi!WmiSystemControl
: i1 h# X3 A) r& W, x' _- c9 r" R4 G3 o |
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。; ~8 a {+ J! T* B' g7 S
4 x5 T+ H( g4 e' I+ J' L* S
: G6 H& R0 q5 m% ?$ [& X6 i
0 w3 _4 l; k" o2 c' y4 D1 [0 b$ T: H2 K
图79 Q- b# N0 Q/ B1 ]" J+ B1 ~% d0 n
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。2 _" H" q: y4 C, N* W6 P
' h: U! y) R( M0 v
( {; O1 g$ ?/ o
; Y* }# C3 ? @; n
图8
" S) c( ~7 v, [6 J; l$ r1 W3 a以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。% F- f% l8 ~8 x
d. y4 f2 ?+ j1 Z/ d. `
/ I+ _8 V, R ]3 Z8 V1 A" |9 r0 Q1 r, z: R, `7 J ~+ ^; E
图9
5 \9 f" J5 M' I! {! v8 lThat’s all!" B+ n' w! u4 {) W; [, F: B& P: |
Peter 0 r) B0 [* t: r" p* a1 ]
1 F3 c( ?) @" v+ d3 x[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了