|
|
|
WMIACPI.SYS
- h% D! }: t6 b. t! j1. WMI Concept+ O6 Q* Y$ y* v3 b8 k. @
& j8 o% X' v, e0 r$ y) O ^4 N
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
: |' M" h- a2 a
, C* D1 k0 ?4 q0 s- `/ n0 n5 i1 k0 j
- r& m) g# X: J3 i3 J$ M2. WMIACPI.SYS
1 k/ M* @+ R: Y/ f$ W- x. } }: a6 }! \. X( }0 U9 Y
Wmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:
# R- W1 {( e% {, z& L( [& ?A.Acpi.sys
6 r' u- u# N [' B& a4 pB.Wmiacpi.sys
- o& p; b) W& F$ uA).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
6 o7 v" W3 t- e/ S& @0 F8 R& ?6 B* AB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:, }* L, U6 Y! r) _2 d/ e
6 o5 m$ L0 t0 b, M4 |& z% Q# L
& m/ s1 H, d- \
3 u' T- D& x8 {3 I3 o
当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。
1 r9 w; n# v# }( @) {
1 I$ a& ^6 d1 C* R3 M3. Under the hood
+ ?5 [* d9 |9 T% |( B/ D
) s# @7 s+ M9 F) L- y5 e前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:
! J9 H7 P: ^3 b3 r( N7 k8 S# x, X: ^3 E8 \* J7 L/ [' j V
( f4 b" b+ e, s4 x$ ~, l. V' E& T: v4 y3 Q$ a* d% f
图 2
6 T% `% ^9 f d O4 B3 V- Q* u% K图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。
9 \1 b$ o' t) i* e2 Q- f5 B/ H& L$ l A+ f; V; B2 q
9 E$ E# u H4 q5 t, d8 V6 _# c5 C
图3 5 T+ E2 L+ E) [$ B
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。2 R- F8 P) p/ B2 \3 Z: @
4 O) q) c& W( ~/ \9 @1 ]7 k# ?' i
8 ]. |# K: V7 T图4
- A; o4 T- |! _( c前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:" S8 K+ D% p7 Z- C# x
! K2 I! K. X( W8 N' ?0 y
: g. ]" [1 F% h( A# g图5 7 \$ ~2 j0 C. T6 |$ k2 Z. X
经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:/ S4 m! J8 R* t. [8 P
3 N* X- R( M/ R q* U9 F
I9 K. |* R" ^3 k- Y图6
* n& [# \3 X9 Z! F如图所示:2 a9 A# M. J, D5 @
2 J8 I6 Q! \/ I$ f, q
wmiacpi!WmiAcpiSetWmiDataItem
2 ~, l( L1 z+ i9 ?5 s- ?
3 {( y; h+ [9 A6 d, C Rwmiacpi!WmiAcpiSetWmiDataBlock/ R# Y* M1 y ^; N$ R& s0 w
$ O5 Q' u: r! E- p1 D/ a4 ]
wmiacpi!WmiFireEvent/ C' u+ ~ D* E$ b
) S' v8 s- z" o! [8 ~
wmiacpi!WmiAcpiQueryWmiDataBlock
, O% Z3 J$ ]1 W7 L0 r6 _& n5 e4 b; [2 ~ W' M" i- O
wmiacpi!WmiAcpiSendAsyncDownStreamIrp. L f n1 A5 @$ ?6 N
& ]1 T: m/ x5 c" ewmiacpi!WmiSystemControl$ M1 K E" V! y; n$ N
1 m u; V3 j, N) ^! P! t' \
wmiacpi!WmiAcpiSystemControlDispatch
( V: s/ a& p: ~% e* g2 B) z& o/ l u; J; w
acpi!ACPIIoctlEvalControlMethod0 Y( G( d+ j9 t3 N# w2 Z: S# z
+ M( [6 N O/ P9 T t9 V
acpi!ACPIIoctlAsyncEvalControlMethod1 Q! w6 L3 d2 { B- T, S0 g
7 I3 m% T& U% z8 gacpi!ACPIIoctlAsyncEvalControlMethodEx& O* y" M K% e+ S2 p
$ W2 e# i3 `9 q* o. {acpi!ACPIIoctlEvalControlMethodEx
- R6 J7 |' z2 `3 v7 a% X* o) u5 W# k! s7 B% R6 F6 S6 W. F" X* C1 M
acpi!ACPIButtonDeviceControl
( h i8 [8 @, E/ \1 G; I4 r3 E7 J" I7 v5 i8 b, ^# b; ] q1 Y9 w2 v
acpi!ACPIEcInternalControl( z( A- K; z9 z$ }6 W1 q* x
8 ^! _* ~4 g( r4 B2 M1 X' Eacpi!AcpiEmbeddedControllerIrpDispatch
) y- c8 W. c7 T4 R% T
, O! [& J$ z. S- Lacpi!ACPIIrpDispatchDeviceControl
/ ?6 A$ H* O& N: \, e0 @: H5 P0 w+ L5 z9 T+ G( U% Y; {% \
acpi!WmiSystemControl
( c; M F: h* f( R* E3 k% A5 \# e2 u/ p% u! @. t# b: E( C" h' p: W
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。- E/ |8 ?9 b' B& a' w. I
+ y2 v( Q3 Z* w( W
* E3 `3 U5 X$ N8 \, z
- X- \9 N+ W( @' e1 D) X) l" A
9 x7 R, `6 t4 z4 F( I! G- K# j图7
0 `: l$ h7 l; T 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。1 a# r* r4 y7 v8 _
, C1 `7 _9 V7 V/ G1 Z
/ ]4 K6 q* k, N ~3 \; Z- i
# j) L& _$ _! i/ @5 D$ E% _
图8
5 D$ d# Z+ z5 R& q5 ]0 X. N0 ^" i8 N. Q; w以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。- N* n. ~) o6 {4 h; \
o. P+ ]3 y% \0 j
, ^: J: O% c$ b4 n2 Y1 x8 F3 Z* ^9 O0 _6 o2 F6 s& t. d: {6 l# J' k
图9
+ m! s- @0 Y2 x. `That’s all!# L. }$ h# n/ x9 H! O `4 `: k' C
Peter & [+ n% {6 Q+ [/ R
$ i$ d3 m4 ?) y+ g9 Q2 a[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2009-5-22 17:14:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-5-22 20:27:37
1 d! q! Y' m+ z+ \/ E+ [( g: ^
今天我再试试也许就出来了