|
|
|
WMIACPI.SYS
( W) w2 G W* p6 ?+ X1 ]1. WMI Concept' I$ A) A7 U9 @5 O- u
5 Z& O4 i. C i- x: ^- JWMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
6 V2 f+ ?- q: H6 ?' p& B
' l4 r) v$ v g, [, _
. I A _" p9 k2. WMIACPI.SYS: k" D+ m0 R: @3 A. P
2 r; b- f# d* Z8 P- n+ \) C1 P$ Z
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
5 l* ]. X* p7 I7 ^; HA.Acpi.sys
% N7 n1 P/ B4 q0 O- J) iB.Wmiacpi.sys
7 {3 u+ G$ i+ h3 A6 P! rA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
: {8 q# P; @0 P7 i) v/ ^$ y' QB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
% b% W5 }; ?6 x9 o% w
9 W9 z* P% N# N3 I7 W, L
/ M& a j9 K9 l
# E! e. b& |* M8 A$ b/ e
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。3 Z% M" t& j2 i/ Y9 m! q; o
' K2 T7 j: L. R* w4 _/ I3. Under the hood q* s) @6 D) v, z* L# c
. ?7 s6 T6 v5 J' u; G& O前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
$ W; k4 M5 q3 g. ~7 h/ f! z9 @. s A: \7 ^1 k+ B# I
! E1 l" I' ^! c7 G* v5 f
- ]* E: S. d9 B% }0 n4 D. v/ D4 a图 2
1 U& l- h: B/ ]7 Q: f, i图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。7 H1 z+ E( a9 O3 Q( N9 |
6 \) ^7 C) x. U+ ~
& l4 k! n& Y& V2 D7 _& Y% q# u9 v图3
2 p5 H- K8 v, f6 W+ ^0 H0 Q由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。8 H: ]& t* d2 U- K) U
, F2 l, N. }+ q* }8 X. B/ s
& T9 m8 {# I" \, q
图4 $ X3 K! w7 N* `+ C: u
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
& s7 d$ c) n8 A+ @5 \+ Y
/ \4 G, V1 M3 F2 P
, ^$ h/ B+ F2 _' R/ W, p f8 a- l图5 6 A/ ]- N/ ?7 S6 _: V, ^/ R
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:0 x/ W3 d# V! X L
. j% y6 u! ]1 c0 y8 p9 L& |" V8 P# Z& F7 |5 f2 G+ T; c7 N
图6
% E. u4 b# |; |9 M' S如图所示:! S' n+ D7 f! |3 X+ X3 P4 F' L
+ x( m- X3 C* ]* n3 Owmiacpi!WmiAcpiSetWmiDataItem O: f0 z% l6 G# m) M! @- J
% q1 U+ \; h* W m! Q* u2 r. D1 ]wmiacpi!WmiAcpiSetWmiDataBlock( P1 _2 A9 \ H6 x/ X% |. X
: f5 h2 c k* t- k% q
wmiacpi!WmiFireEvent* n$ Z6 b5 O9 S. }, H% l/ c$ m6 {
( {; }; Y' r/ G _wmiacpi!WmiAcpiQueryWmiDataBlock7 M+ A: u e9 w
" o, o x5 s0 a. B) \' q8 K3 w: @! ^wmiacpi!WmiAcpiSendAsyncDownStreamIrp
3 q$ f& k a! w4 G# R
& x- `8 O2 q' w5 B' Q0 Q, wwmiacpi!WmiSystemControl' s! }% D/ ?6 c
# g' }( h3 ~) Cwmiacpi!WmiAcpiSystemControlDispatch7 k* v# P$ _2 e+ c& u' g& v8 Q% o
% v2 K' d) B9 ]0 F; e1 l" h d" S6 N
acpi!ACPIIoctlEvalControlMethod9 \( p( D G0 V! W
X' h' k. P' Y0 Y9 Macpi!ACPIIoctlAsyncEvalControlMethod# s$ r$ H. S4 a; M' j
! E& ^. i9 t% N" ]8 Z5 R# m
acpi!ACPIIoctlAsyncEvalControlMethodEx. K+ P& \1 c& O
0 b! v5 g4 W+ W; B4 g" r$ xacpi!ACPIIoctlEvalControlMethodEx
% M y/ Q% ]+ R4 v* ~- B6 E4 m! `
- Z! g' o" ` H3 y* T5 \5 Uacpi!ACPIButtonDeviceControl
* c2 {. h2 H8 d$ m, M$ Z) |0 p2 Y: V8 E( y+ A# P0 k+ a
acpi!ACPIEcInternalControl
& d) s* e; [- l: @3 l. X) p! L' ~! ?! ~- A% t
acpi!AcpiEmbeddedControllerIrpDispatch2 h9 o B; W; I: c6 a) s
M6 Q X# `" r; macpi!ACPIIrpDispatchDeviceControl
% L6 r* p, r2 I6 d9 k6 Q* V, G9 Q+ U1 e# v) Y' P
acpi!WmiSystemControl' V) K4 v# s8 u) W. B& \- M6 g
- |; [9 x! J# i2 T& M
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
% h& U# D [+ {- b" f$ M) p0 N; N3 t
* ^6 N5 a5 M) Y7 [6 i9 S! n W9 i$ @% m( |! ]( b
) R5 B1 G: P! I* a* N" L
+ q( `; |* R' v0 `4 B9 G图7
4 ^# w7 Y7 f! | 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。
' M% C0 h% S0 K B- M: x1 d, {/ U6 ]8 A. l* l
8 D+ b E5 e% _7 K+ z7 k, S) S7 k6 s( `" y7 d `2 U
图8
X3 k* W; P6 m3 w4 N* l以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。, @- y! J8 J, M# m: e1 C8 p8 O
1 D$ x: t; l& {' o/ a- l; E
' q& L( I+ O& v. L) x6 \6 t
6 m6 g, V% o) O7 i! _
图9 , z% V5 b6 C, n N3 ]! G
That’s all!
: `7 a2 R! T! L9 j, XPeter
5 L- X$ q2 _. `9 d* E& Z# b4 j" s, |; U! |
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了