|
|
|
WMIACPI.SYS / I$ B" M3 c! ^, Q: K
1. WMI Concept6 u c' i6 F3 H% E" ^" E$ B4 L
) H m$ @6 [6 e4 E& Y0 [
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。1 ^2 r) m; O' @
0 M6 E1 `* X9 t, R/ P0 v
) J3 Q# g X% l$ _1 T' I/ x0 z* ?
2. WMIACPI.SYS
& z e- [9 J9 W/ U& a# R+ P) v; A! F5 V8 z' ~; X& @- Y$ {6 E
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
. w* h7 p |5 |6 TA.Acpi.sys5 A1 `3 [; l# p/ I6 ]. l- R
B.Wmiacpi.sys
( x: h: K p) Q( |& N4 L0 bA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
5 t ~6 J; O; P+ \( v# cB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:, m- o! ~, B* r {( E( W3 N }
2 S( b7 u+ Q$ X. v8 H, k9 d3 D
) }* `0 t" `' [6 G5 i
/ ^# ^; c/ y2 B8 v! h当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。- H% f1 j9 [& U
) o+ K0 E: v/ R# L3 g: T
3. Under the hood& P# T; r4 @0 V; q4 {+ i5 i+ H
8 U) ^, k0 U* g1 e5 d
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
" x6 U- \4 z/ q9 B1 @4 F9 j% _/ c: o5 _5 f, U+ c3 |0 x2 u2 M
. z6 i+ w( r. ^# L% D
. z% G' G. L0 j, a- i图 2
1 i- f9 I+ O( ^% y- l6 i7 {图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
5 s/ b% j' N' R% M( s5 `- h* _- a; w. Y0 Q$ g7 w$ C
, I$ {! n; @+ t; G8 l1 R图3 ) i) \; M5 T" [" B: _( {, }! G
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
: w8 U. x; O# P& g0 n* d: L$ H( G; `& `/ c. c& _
; ]2 t6 X/ V- f1 ^9 h+ {
图4 3 [( A- H9 ? a- e
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:% Q& X4 h0 Y$ y8 W e
+ ]. ^7 z/ H5 i0 r9 v X0 u
! X y! r8 W/ d8 P+ l) S+ @图5
9 G, ]: @- S" @; G- u经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:$ Z3 k4 _9 b% `& C
4 g) g3 Q0 o- i1 {# w
+ ]2 h0 D* w% z5 {- ?
图6 " B. d" i* J6 W% E5 P3 t4 _6 C
如图所示:) V( q( h. f) @
5 g! F) r( M# h5 a* T5 z" m
wmiacpi!WmiAcpiSetWmiDataItem
1 {( ?# E7 Q1 x2 U
$ }# C$ d" E! F3 v2 \" }% n4 p4 Hwmiacpi!WmiAcpiSetWmiDataBlock
8 p# n% W2 m: x3 f) G
/ V+ q3 f8 C/ D4 H* h/ ^) ?5 fwmiacpi!WmiFireEvent
- j. q1 {7 y$ y5 g9 D G
( c9 m8 n' J0 f6 D! cwmiacpi!WmiAcpiQueryWmiDataBlock" u, x" @! j: Q' N7 C& m8 U
7 Q) k) p& r9 Z3 z" h$ s
wmiacpi!WmiAcpiSendAsyncDownStreamIrp+ b( }' B0 s' f7 e' v7 H9 _
' q" @& l8 R& u0 x/ ?9 A3 p; g
wmiacpi!WmiSystemControl
" ?3 ^/ R9 I8 M8 o, X# B. z9 |& m+ w) V0 s
wmiacpi!WmiAcpiSystemControlDispatch5 S( H8 H# T' @
$ Z6 r" b8 h) A' B2 X- p
acpi!ACPIIoctlEvalControlMethod
6 R( \/ Y0 b' m( z2 _6 S1 b# z( z& a- u* I i- ?* A+ w
acpi!ACPIIoctlAsyncEvalControlMethod6 p6 l) ^) U. ?% n
; I/ I( `6 `& L" x5 zacpi!ACPIIoctlAsyncEvalControlMethodEx
8 s$ B: `# ~* \0 d
' h0 T+ h' v+ y5 oacpi!ACPIIoctlEvalControlMethodEx( e" O8 ]: p- E! H
}/ o% y# h' Dacpi!ACPIButtonDeviceControl, J5 ]$ }4 u' }! U2 v; r
3 f. P5 H6 f+ b* S: }, |" ~3 g
acpi!ACPIEcInternalControl( k0 ], i) h+ L3 q J9 O8 l
. [( p4 T& E0 p" Q4 b: Y$ V
acpi!AcpiEmbeddedControllerIrpDispatch8 [/ L" y9 \; q" _3 [, V
6 Q* h) I8 ^* M. H4 lacpi!ACPIIrpDispatchDeviceControl
0 s/ X+ R8 S7 X, W. ^0 F3 o5 I- }9 z/ P
acpi!WmiSystemControl
% _. A1 F; ~# q3 q( {' q( V8 ~) Q& ^9 ^* i
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。$ k8 \! w, i2 z4 r7 w
) ]' m3 M4 q- |# p! L: A: A
& U0 o: ~' A0 d( F2 @ C. M3 v K- f/ z, |8 J
" e9 o v$ o4 r
图71 j* a* j+ D7 y5 r0 [
图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。0 Z' t K/ _# t! s5 q. f
8 e/ m2 {4 R3 G
( a; t$ n% W5 v Q$ e7 w6 ^; C7 x7 s- s# r- u7 Z/ k0 x
图8
( r* ]2 i; y- b6 r* P以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。, |3 E4 b1 x2 b, y* R% d! g
6 \& P% _9 Y, y8 D+ u( k5 d. s
9 U. [+ u. h! _ h0 L- \, D
+ x w' I0 z K0 Q0 }( q图9
6 H! q9 x! |( l" WThat’s all!5 q" F: @0 i$ g6 W
Peter
; D' M1 Y$ d2 W2 d' u+ q% E+ q" W/ G7 E; Q! C
[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
今天我再试试也许就出来了