WMI技术介绍和应用——Instance/Method Provider

        在《WMI技术介绍和应用——事件通知》一文中，我们提到了提供者（Provider）这个概念。我们还是要引入WMI的结构图（转载请指明出于breaksoftware的csdn博客）

        我们在1这层的Native C/C++里可以看到若干Provider，这些Provider将各个实例或者事件信息通过WMI core传递到上层。微软对这块内容在MSDN上没有给出详细的例子，所以一开始摸索起来非常困难，以致我一度想放弃对其的研究。但是好在找到一本《Developing WMI Solutions》，该书非常详细讲解了WMI的一些书写规则，虽然该书的网站已经不再维护，其事例代码也找不到了。但是循着书中的讲解，我还是将其摸索出来，以供大家参考。

instance provider

        MSDN上说Virtual Studio的ATL模板里有WMI向导，并且推荐大家使用向导去生成WMI工程。需要注意的是，不是每个版本的VS都有这个向导，像我环境中的VS2015则没有，而VS2005则有。

        我们先创建一个名字为Test_Instance的ATL工程

        Server type选择Dynamic-link library (DLL)，其他不选，我们将生成Test_Instance和Test_InstancePS两个工程。Test_InstancePS工程我们不用关心，直接删除就行了。我们选中Test_Instance工程，右击并选择Add，添加一个class。在向导里我们可以看到ATL下有WMI相关模板

        Name字段还是填写Test_Instance，在Instance Provider的向导中，我们在short name项下填入我们需要实例化的类的名字TestClass

        在WMI Class项中，我们不做任何修改，使用默认的root空间，其实最终我们真实使用的是root\default。

        在Attribute项中，我们在Threading Model中选择Both，其他可选项都勾选上。

        通过向导的设定，我们的工程中新增了TestClass.cpp、TestClass.h和Test_Instance.mof三个文件。Test_Instance.mof是我们向WMI仓库注册使用的文件，其他则是我们的代码文件。

        向导已经帮我们在mof文件中生成了一大串内容。

#pragma autorecover#pragma namespace ("\\\\.\\root\\default")class Win32_ProviderEx : __Win32Provider{[Description ( "Hosting Model, provides compatibility with Windows XP and Windows Server .NET. Do not override." ) , Override("HostingModel")]string HostingModel = "NetworkServiceHost";[Description("..."),Override("SecurityDescriptor")] string SecurityDescriptor; UInt32 version = 1;} ;instance of Win32_ProviderEx as $TestClass{Name    = "TestClass" ;//Name is the key property for __Provider objects.    //vendor|provider|version is the suggested format    //to prevent name collisions.ClsId   = "{7F1C3BD1-7732-403F-844F-CC6ED9CA85FE}" ; //provider GUIDDefaultMachineName = NULL; //NULL for local machineClientLoadableCLSID = NULL; //reservedImpersonationLevel = 0; //reservedInitializationReentrancy = 0;//Set of flags that provide information about serialization://0 = all initialization of this provider must be serialized//1 = all initializations of this provider in the same namespace must be serialized//2 = no initialization serialization is necessaryInitializeAsAdminFirst = FALSE;//Request to be fully initialized as "Admin" before //initializations begin for usersPerLocaleInitialization = FALSE;//Indicates whether the provider is initialized for each //locale if a user connects to the same namespace more //than once using different locales.PerUserInitialization = FALSE;//Indicates whether the provider is initialized once for each actual //Windows NT/Windows 2000 NTLM user making requests of the provider. //If set to FALSE, the provider is initialized once for all usersPure = TRUE;//A pure provider exists only to service requests from //applications and WMI. Most providers are pure providers.//Non-pure providers transition to the role of client after they have //finished servicing requests. UnloadTimeout = NULL;//Currently ignored//Use __CacheControl class in the root namespace to control provider unloading.//A string in the DMTF date/time format that specifies how long WMI //allows the provider to remain idle before it is unloaded.    } ;    instance of __InstanceProviderRegistration{Provider = $TestClass;SupportsPut = "TRUE"; SupportsGet = "TRUE"; SupportsDelete = "TRUE"; SupportsEnumeration = "TRUE"; QuerySupportLevels = {"WQL:Associators","WQL:V1ProviderDefined","WQL:UnarySelect","WQL:References"};};instance of __MethodProviderRegistration{    Provider = $TestClass;};

        这一长串内容详细大家可以参看MSDN，其中主要的是__InstanceProviderRegistration和__MethodProviderRegistration实例申明。instance of __InstanceProviderRegistration是说我们需要一个Instance类型Provider的注册实例，instance of __MethodProviderRegistration是说我们需要一个Method类型Provider的注册实例。它们的Provider都是我们之前使用instance of Win32_ProviderEx as $TestClass申明的实例。前者用于实例方面的使用，比如获取对象、删除对象、查询信息等；后者用于方法方面的使用，比如我们之前说的Win32_Process的Create方法创建进程。

        我们先修改mof文件，我们在文件末尾新增如下内容

[dynamic : ToInstance, provider("TestClass") : ToInstance, // uses the TestClass ProviderClassContext("whatever!"),          // information is dynamically                                    // supported by the providerDisplayName("ClassInstance"): ToInstance]                                    class ClassInstance {[key]string name = "CIN";[PropertyContext("ClassInstance_Member")]string value = "CIV";};

        其中非常重要的是provider字段填写，它就是指向我们之前申明的provider。然后我们申明了一个ClassInstance的类，其有一个Key属性的变量name，还有一个普通类型变量value。

        我们在到TestClass.cpp中修改相关内容。首先我们需要将类名定义为我们在mof文件中定义的类名

//TODO: define provided class name, e.g.:const static WCHAR * s_pMyClassName = L"ClassInstance"; 

        为了支持WQL查询，我们需要修改ExecQueryAsync方法，我们在其方法中新增如下逻辑

    CComPtr<IWbemClassObject> sp_object;    CComPtr<IWbemClassObject> pNewInst;    hr = m_pClass->SpawnInstance(0, &pNewInst);    if (FAILED(hr)) {         return WBEM_E_INVALID_CLASS;    }    sp_object = pNewInst;    CComVariant value;    value.vt = VT_BSTR;    value.bstrVal = CComBSTR("notepad.exe");    sp_object->Put(L"name", 0, &value, 0);    sp_object->Put(L"value", 0, &value, 0);    hr = pResponseHandler->Indicate(1, &sp_object.p);    hr = pResponseHandler->SetStatus(0, WBEM_S_NO_ERROR, NULL, NULL);

        这段逻辑，我们通过SpawnInstance创建了mof定义的类的实例。然后通过Put方法，我们设置了其name和value变量的值。

        代码修改好后，我们编译工程。工程编译中，会对mof文件进行检查和注册。我们还可以手工使用Mofcomp工具对mof文件进行注册。

        使用regsvr32注册编译出来的dll文件。这样我们的实例便可以查询了，使用之前工程中的方法

CSynQueryData recvnotify(L"root\\default", L"SELECT * FROM ClassInstance");recvnotify.ExcuteFun();

        可以得到

method provider        

        我们再说说Method Provider。一个类的方法有静态和非静态之分，我们在mof里定义的类也是如此。我们对上例中的ClassInstance类新增两个方法

class ClassInstance {[key]string name = "CIN";[PropertyContext("ClassInstance_Member")]string value = "CIV";[implemented]void func();[static, implemented]void staticfunc();};

        其中func方法是非静态方法，staticfunc是静态方法。和C++中定义类似，静态方法我们要使用类名+方法名调用；非静态方法要使用对象调用。在WMI Provider中，执行方法的函数是ExecMethodAsync，我们对其进行修改

    CComPtr<IWbemQualifierSet> pQualifierSet;    hr = m_pClass->GetMethodQualifierSet(strMethodName, &pQualifierSet);    if (SUCCEEDED(hr)) {        hr = pQualifierSet->Get(L"static", 0, NULL, NULL);        if (SUCCEEDED(hr)) {            // static function. go on        }        else {            CComPtr<IWbemClassObject> pInstance;            hr = GetInstanceByPath(strObjectPath,&pInstance);            if(FAILED(hr)) {                // object is not existed                return hr;            }            // object is existing. go on        }    }    else{        return hr;    }

        这段代码，我们检测函数是否使用了static修饰。如果是，则它是静态方法，我们就不用做对象是否存在的检查；如果不是静态方法，我们就要对对象是否存在进行检查，如果对象不存在，我们则应该返回相应错误，否则继续执行。

        我想模拟Win32_Process的Create方法启动一个进程。我尝试了CreateProcess、ShellExcute等方法，均不成功。后来逆向了一下Win32_Process所以在的dll文件，发现其中启动进程是使用CreateProcessAsUser，且在此之前做了很多和用户有关的操作。为了简便，我们可以这样书写

    HANDLE TokenHandle = NULL;    OpenThreadToken(GetCurrentThread(), TOKEN_QUERY | TOKEN_DUPLICATE | TOKEN_ASSIGN_PRIMARY, 1, &TokenHandle);    STARTUPINFO StartupInfo;    memset(&StartupInfo, 0 , sizeof(StartupInfo));    StartupInfo.wShowWindow = SW_SHOWNORMAL;    PROCESS_INFORMATION ProcessInformation;    memset(&ProcessInformation, 0, sizeof(ProcessInformation));    BOOL bRet = CreateProcessAsUser(         TokenHandle ,        L"C:\\windows\\notepad.exe",        NULL ,             NULL,        NULL,        FALSE ,         NORMAL_PRIORITY_CLASS | CREATE_BREAKAWAY_FROM_JOB ,        NULL,        NULL,        &StartupInfo,        &ProcessInformation);

        该过程我们获取的权限和我们启动查询的进程中的线程相同。这样我们便将notepad启动起来。

        我们对static方法的调用是这样的

    CExcuteMethod* excute_method = NULL;    {        ParamsMap params;        excute_method = new CExcuteMethod(L"root\\default", L"ClassInstance", L"", L"staticfunc", L"", params);        excute_method->ExcuteFun();    }    delete excute_method;

        对非static方法的调用，我们则要传入实例名

    CExcuteMethod* excute_method = NULL;    {        ParamsMap params;        excute_method = new CExcuteMethod(L"root\\default", L"ClassInstance", L"ClassInstance.name='notepad.exe'", L"staticfunc", L"", params);        excute_method->ExcuteFun();    }    delete excute_method;

        工程链接：http://pan.baidu.com/s/1geucuKb 密码：pcwl