|
WMIACPI.SYS ! w/ U2 `6 P1 R) V* y3 F
1. WMI Concept
6 a, D2 V3 u' \' c! D0 m+ ]# j4 r1 U
WMI全称Windows Management Instrumentation是一种管理计算机系统的方式。它是微软基于WBEM的实现,WMI希望为系统管理以及分布式数据描述提供一种模型,并且允许使用基于COM的user mode API对系统部件进行访问、管理、控制。
5 b: |* }; ?$ X) ^8 ]- w" _/ Q' C4 E8 z2 K" Q
2 R$ q: o5 @7 i- U+ h
2. WMIACPI.SYS
; e3 x* U4 @4 r! \- w$ B* v, G# J$ r/ W
5 x) \( u' ~; u- U" ^8 X0 qWmiacpi.sys 是微软提供的一只generic mapping driver它的Plug and Play ID为 PNP0c14.,ACPI包含丰富的系统信息,OEM厂商可以利用这支mapping driver定制平台相关的功能而且允许使用WMI获取,如此便可以在单机或者在网络环境中获得平台的特定信息。关于如何在BIOS、OS中定制wmiacpi,bini已经给出了非常详细的讲解,有兴趣可以参考bini的文章。在这里我会讲解一下原理部分。ACPI-to-WMI mapping function是通过下述两只driver达成的:) X6 K6 F$ _: K) R' |: W8 v# K
A.Acpi.sys. @3 |6 ?4 Z! X; }' @
B.Wmiacpi.sys3 U1 ~1 T& u" I/ W
A).Acpi.sys的一个主要功能是解释和执行aml,而aml就是asl code的机器码,所以ACPI asl code真正的执行是由acpi.sys触发的,而不是BIOS主动执行的。它的另一个功能就是查找ACPI spec定义的device Plug and Play ID,并据此创建相应的software device后续OS会为这些device加载对应driver。如power button driver,battery driver,lid driver,fan driver等等。Device 对应的Plug and Play ID可以查阅ACPI spec获得。
0 F" y1 R+ p# q6 V& QB).Wmiacpi.sys它的Plug and Play ID为PNP0c14,一旦BIOS 在asl code给出定义,acpi.sys就会创建这个pseudo device,OS就会load wmiacpi.sys作为该device的driver。当然仅仅加载这支driver还是不够的,为了能够使用WMI访问该software device包含的具体信息我们还需要一个供BIOS使用的asl文件以及与asl code对应的MOF文件而微软并没有提供Wmiacpi.sys相关的MOF文件。那么MOF文件到底有什么作用呢?要搞明白这一点我们来研究一下WMI的工作原理了,下图1展示了WMI Architecture:
7 A; ]# m9 g' r+ J0 P: V# s8 M; z d* y, ]# F3 z
( `' U2 d# `7 Q1 F
) X9 v1 x9 X3 L' Z, ~" M7 f当user使用API访问WMI信息时,WMI CORE会查看repository中已知的scheme定义,然后将希望获得的信息通过IRP的形式送给Providers这些Providers通常都是WMI Driver,它们处理IRP并将所需信息送给上层。那么也就是说必须要将MOF scheme加到WMI repository之中,consumer 才可能透过WMI COM API访问到。完整的过程是这样的OS在加载WMI驱动程序的时候会查看驱动程序的MOF scheme,如果驱动程序MOF scheme 部分正确无误,那么OS会将MOF scheme提取出来并自动加入到repository之中。所以OS仅仅加载wmiacpi.sys并不行,我们还需要给出与ACPI asl code对应的MOF scheme,并且通过在WMIACPI service key 下面建立一个key MofImagePath它的value指向MOF档的路径。如此在OS加载wmiacpi.sys时就会将对应的MOF scheme加入到repository之中,后续consumer访问时WMI CORE就会检索到scheme信息,然后下IRP给wmiacpi.sys。讲到这里原理应该差不多了但还要注意的是wmiacpi.sys并不会去执行asl code,最终执行动作还是会由acpi.sys发动。driver是层次结构的,acpi.sys是wmiacpi.sys的lower driver,wmiacpi.sys会将上层对asl的访问转化为low level IRP 送给acpi.sys,acpi.sys再返回具体信息然后逐级回送。. K* c! ]6 D# Y8 N, a' G |1 V: P
, X, i# O3 r$ W. v2 @/ \7 R3. Under the hood; w1 r) r; m* P: Q4 R0 q" I
5 E5 {4 ^- o5 o5 P7 Q( g, M
前面都是原理的介绍,讲的我都快吐血了J,实践是检验理论的唯一标准。说不如做,随我揭开内幕一探究竟。WDK ver6000 src带了一个wmiacpi的samplecode,build之后会生成一只acpimof.dll,在BIOS里面将device.asl包进去然后再注册表中加入acpimof.dll的信息然后重启。讲到这里还要提到一个验证wmi的好工具叫做WMICodeCreator.exe微软的网站上有下载,下面我们就使用该tool验证前面的说法,下图2演示了我们定制wmiacpi之后的状况:+ q8 O S/ y! n2 t+ h
, G7 ~" d( u' \6 F: F4 z
8 ]/ H; l' J2 Y h
) @5 N# W. I( T* z
图 2
% i4 l* p* k$ Z% k图2红色方框标注的AcpiTest_**就是我们定制的WMI class。也就是OS Load wmiacpi.sys之后将其MOF档案解析出来并加入到WMI repository于是我们就看到了上图的信息。下面我们来跟踪一下访问具体的class的情况吧,祭出WinDbg,let’s go!首先查看一下wmiacpi.sys这支driver有没有被加载下图3表明该driver被正常加载了。% G( B9 z) Y* \& m3 f
# G( c- t A+ _! t, B s3 c
' O! P7 J4 W3 D0 a3 l& C! q8 L) }图3 $ X/ K/ P1 I- J' T
由图3显示与wmi相关的有两个driver:wmilib.sys和wmiacpi.sys,wmilib.sys是干嘛的呢?别急后续讲述wmi driver的文章会详细介绍它。既然被加载了那我们就要dump wmiacpi.sys的symbol看看有哪些有用的信息,这样我们才比较容易下手J。下图4显示了wmiacpi.sys的所有symbol。
2 G" m5 y; a1 `5 E7 m/ \: h2 i+ r
' m1 F% s Z+ _3 K- g
5 l" x1 o7 [: |. z i. d图4 ; P# b+ | A6 J, K& u* m! A$ e% W
前面我们还讲到wmiacpi.sys最终会调用到acpi.sys访问asl code那我们再看一看acpi.sys有哪些symbol,下图5显示了acpi.sys的所有symbol:
) @. z/ G; d. k& y& C* f" X Y( x7 {0 ]; B7 }8 {8 M
, F4 S, @+ f2 w. i3 K0 [8 f* c
图5
/ T* k, A. ?4 L; t( _! f# o经过分析上述symbol我觉得下述函数很有作案嫌疑,所以将它们秘密监控J都给设上断点,被怀疑的对象如下图6所示:
1 y: i5 R. r9 ~5 g, e% X! u+ C+ a" c" u( }* u6 E
( v0 o# w3 F* r T3 G+ V2 w
图6 & O* C- @7 J* n3 T7 S- R
如图所示:+ D8 j/ ]4 w, ?1 Y }
2 |. f w0 o( m6 L2 }" [/ Y6 Z5 U
wmiacpi!WmiAcpiSetWmiDataItem/ h+ W; w. J. y1 k
# ^9 j% `9 ~) R4 f& J6 }' W
wmiacpi!WmiAcpiSetWmiDataBlock. x, g, A- w V0 o1 X1 i
4 r: q: E% @8 P$ m- c/ s
wmiacpi!WmiFireEvent- ^, z# s) A/ c* D
0 k- w8 ]2 L% W
wmiacpi!WmiAcpiQueryWmiDataBlock
& Q- J4 g# p$ O2 b
3 q+ T7 H" D% O9 C% G1 `wmiacpi!WmiAcpiSendAsyncDownStreamIrp
+ l2 y, i, F, g1 F/ j6 k
/ [( p( W. T+ T4 e% B7 uwmiacpi!WmiSystemControl
9 {, l! _' x& ^9 z" D p9 K K1 {8 ~" o9 A1 b
wmiacpi!WmiAcpiSystemControlDispatch
$ R) B; T; }$ a; ?; q8 g: P$ U+ N4 j6 Q- s" G* p$ r+ H
acpi!ACPIIoctlEvalControlMethod
: d; j3 p0 y7 ~6 @3 H# ~
4 I5 s- z3 V" c' k1 P$ Wacpi!ACPIIoctlAsyncEvalControlMethod
1 |0 ^: ?5 H8 F1 f0 K. }5 O
; ~- [" }2 N+ Y' C' h0 V; {acpi!ACPIIoctlAsyncEvalControlMethodEx% W5 y: B! y, E8 N) Y( S
( h: ? N* r) Q |
acpi!ACPIIoctlEvalControlMethodEx
3 l2 Y! m# x5 M% S9 @# w; _8 Z$ l9 ~& P3 j c" O' x- ^
acpi!ACPIButtonDeviceControl
/ w. v. [+ b& c' |4 _# }$ k! A; O1 E. Y" D
acpi!ACPIEcInternalControl
6 p, F1 j$ J0 O* r5 m: k, f* I* o, u& b) o7 e
acpi!AcpiEmbeddedControllerIrpDispatch) j- u: L0 d7 B; {7 _: G: K0 E- f
# i# P% p c! G
acpi!ACPIIrpDispatchDeviceControl
/ ^, r7 c) G8 R" E' p% g" {7 a, U5 ]& X% e
acpi!WmiSystemControl5 }" o1 {4 s& T2 J$ p; c- _
5 ]) r! I; t/ x; h$ x! K
这些函数都被设置的断点,下面就我们读写一个class试试看了,图7证实了我之前的所说绝非空口无凭,我们读AcpiTest_MPackage class时发现先会call wmiacpi!WmiAcpiQueryWmiDataBlock,然后acpi!ACPIIrpDispatch DeviceControl会接手,当然后续还会有别的一些动作,但是上述行为就足以支撑我的论点了J。
/ X2 C* c& \$ d
4 O) W# ?" x: K* V: P6 [+ b' R3 |9 t1 X1 I) N
. F# m; |" B6 C' O
, L! A" G" `7 K5 _ L图7
! |6 s0 O$ M' {: g$ G2 n$ G/ m 图8演示了我们发一个event的状况,图中显示acpi.sys会接到该event然后透过wmiacpi!WmiFireEvent送给上层AP,上层AP再透过IRP下来qurey其它相关的具体信息。) ^- d; u. v' Z
) P1 U6 q% M9 y2 X) X, G# V- B
; H0 ~' b. Z6 ^* s3 z5 T
8 \" M6 Y, R5 h( @3 J3 s* L' h图8 6 n" _0 ~+ |; w D- s( \. t$ x) M
以上就是我费尽九牛二虎之力挖掘的wmiacpi.sys的秘密了,再附上一幅我的debug环境J。( V, i& b$ p$ i% s5 `# U
, R4 }, j. C1 W
2 U/ d# G# b5 L
8 x* h: y2 q: h8 L- X
图9 " |1 l$ ~' \/ v1 C" o9 h
That’s all!+ o. \2 X: r) R! l1 w8 R: u; I
Peter
0 B i8 {3 h8 J9 Y x" p; m1 f
) K; B& V+ I! ?" E( k- C[ 本帖最后由 peterhu 于 2009-5-25 09:31 编辑 ] |
|