Android 驱动程序Demo及流程
来源:互联网 发布:绣花制版软件 编辑:程序博客网 时间:2024/06/01 18:01
很久前就想了解驱动程序的想法,这里现做一个简单的开始,从demo做起,看到Android驱动程序的基本运行流程,这对漏洞分析、检测和挖掘都是必要的。同样,本篇基本也是自己学习过程的记录,无干货。本篇大多数内容来自Linux设备驱动之Ioctl控制。
一、用户层
不管是漏洞检测,还是poc中,我们见到最多的函数就是ioctl()函数,这个函数就是用户层调用内核程序的接口。
/*fd:文件描述符cmd:控制命令...:可选参数:插入*argp,具体内容依赖于cmd*/int ioctl(int fd,unsigned long cmd,...);
函数第一个参数文件句柄,可以通过open()获得,第二个参数是指令的值,和驱动程序里的switch()里的case值是对应的,第三个是可选参数,通常是一个指针,指向某个变量或者结构体。函数执行成功,返回0,出错返回-1。
下面来看一个用户层demo程序(代码取自Linux设备驱动之Ioctl控制,如有冒犯请联系删除),和后面驱动程序是对应的,首先定义头文件。
#ifndef _MEMDEV_H_#define _MEMDEV_H_#include <linux/ioctl.h>#ifndef MEMDEV_MAJOR#define MEMDEV_MAJOR 0 /*预设的mem的主设备号*/#endif#ifndef MEMDEV_NR_DEVS#define MEMDEV_NR_DEVS 2 /*设备数*/#endif/*mem设备描述结构体*/struct mem_dev { char *data; unsigned long size; };/* 定义幻数 */#define MEMDEV_IOC_MAGIC 'k'/* 定义命令 */#define MEMDEV_IOCPRINT _IO(MEMDEV_IOC_MAGIC, 1)#define MEMDEV_IOCGETDATA _IOR(MEMDEV_IOC_MAGIC, 2, int)#define MEMDEV_IOCSETDATA _IOW(MEMDEV_IOC_MAGIC, 3, int)#define MEMDEV_IOC_MAXNR 3#endif /* _MEMDEV_H_ */#ifndef MEMDEV_SIZE#define MEMDEV_SIZE 4096#endif
用户层代码:
#include <stdio.h>#include<sys/types.h>#include<sys/stat.h>#include<fcntl.h>#include "memdev.h" /* 包含命令定义 */int main(){ int fd = 0; int cmd; int arg = 0; char Buf[4096]; /*打开设备文件*/ fd = open("/dev/memdev0",O_RDWR); if (fd < 0) { printf("Open Dev Mem0 Error!\n"); return -1; } /* 调用命令MEMDEV_IOCPRINT */ printf("<--- Call MEMDEV_IOCPRINT --->\n"); cmd = MEMDEV_IOCPRINT; if (ioctl(fd, cmd, &arg) < 0) { printf("Call cmd MEMDEV_IOCPRINT fail\n"); return -1; } /* 调用命令MEMDEV_IOCSETDATA */ printf("<--- Call MEMDEV_IOCSETDATA --->\n"); cmd = MEMDEV_IOCSETDATA; arg = 2007; if (ioctl(fd, cmd, &arg) < 0) { printf("Call cmd MEMDEV_IOCSETDATA fail\n"); return -1; } /* 调用命令MEMDEV_IOCGETDATA */ printf("<--- Call MEMDEV_IOCGETDATA --->\n"); cmd = MEMDEV_IOCGETDATA; if (ioctl(fd, cmd, &arg) < 0) { printf("Call cmd MEMDEV_IOCGETDATA fail\n"); return -1; } printf("<--- In User Space MEMDEV_IOCGETDATA Get Data is %d --->\n\n",arg); close(fd); return 0; }
可以看到,程序调用了3次ioctl()函数,分别传递了3个cmd值,所以,我们后面可以看到,在驱动程序对应的ioctl函数里应该至少有这3个值对应的case。
据此,可以看到在用户层调用ioctl()函数十分简单,大致流程其实就是参数构造过程,fd参数构造很简单,直接获取open()对应的设备文件即可获得句柄。剩下第二个第三个参数的构造,实际上比较麻烦。首先,我学习这个不是为了开发,而是和漏洞相关的工作。那么,这里就有几个问题:
1) 我们需要调用的驱动功能可能没有源码,那么如何构造源码参数2?
2)即使存在源码,我们如果要做批量的fuzz,如何比较通用的构造参数2?
参数3是个指针,可能指向一个结构体,那么参数3构造同样存在上面的两个问题,而且更加不好解决。即使是写漏洞检测代码或者漏洞poc,找到这些结构体依赖也是一件体力活。
二、驱动层
在用户层调用了ioctl函数之后,内核里面对应的ioctl函数会被调用,我们暂时不去关心这中间的调用链。我们把重点放在内核层的ioctl函数以及驱动程序的执行流程上。
首先,驱动程序不想我们常见的c语言函数,不是以main()作为函数的入口的。取而代之,在驱动程序中两个特殊的函数:
module_init(initFunc);module_exit(exitFunc);
module_init定义驱动被加载时的行为,在此函数应该完成一些初始化操作,通过“insmod 模块文件名”命令安装时,次函数会被调用。module_exit定义驱动被卸载时的行为,次函数函数中完成一些“善后工作”,通过“rmmod 模块文件名”来卸载模块时,函数会被调用。所以一个最简单的helloworld类似这样:
int text_init(void){ printk("<0>Hello World!"); return 0;}void text_cleanup(void){ printk("<0>Goodbye World!");}module_init(text_init); //注册加载时执行的函数module_exit(text_cleanup); //注册卸载时执行的函数
显然,这样的helloworld定义行为太少,还有很多工作没做,比如用户层如何调用此驱动。前面我们知道,我们调用驱动程序是通过设备文件的形式的,接下来先介绍一些字符设备驱动程序的知识,linux设备驱动第三篇:如何写一个简单的字符设备驱动?这篇文章内容不错。
1. 主设备号与此设备号
主设备号表示具体的驱动程序,次设备号由内核使用,表示具体的设备文件。例如,虚拟控制台和串口终端有驱动程序4管理,而不同的终端分别有不同的次设备号。
1.1 设备号数据结构
内核中,dev_t用于描述设备标号,为32位的int类型,前12位表示主设备号,后20位表示此设备号。dev_t和主设备号、次设备号可以通过linux中一些宏方面的转换。
//获取主设备号MAJOR(dev_t dev);//获取次设备号MINOR(dev_t dev);//转换为dev_tMKDEV(int major, int minor);
1.2 分配和释放设备号
int register_chrdev_region(dev_t first, unsigned int count, const char name);
first是要分配的设备编号范围的起始值。count是连续设备的编号的个数。name是和该设备编号范围关联的设备名称,他将出现在/proc/devices和sysfs中。此函数成功返回0,失败返回负的错误码。
此函数是在已知主设备号的情况下使用,在未知主设备号的情况下,我们使用下面的函数:
int alloc_chrdev_region(dev_t dev, unsigned int firstminor, unsigned int count, const char *name);
dev用于输出申请到的设备编号,firstminor要使用的第一个次设备编号。
在不使用时需要释放这些设备编号,已提供其他设备程序使用:
void unregister_chrdev_region(dev_t dev, unsigned int count);
此函数多在模块的清除函数中调用。
以上完成设备编号注册。
2. 重要数据结构
2.1 文件操作file_operations
file_operations数据结构定义在 <linux/fs.h>, 是一个函数指针的集合,设备所能提供的功能大部分都由此结构提供。这个数据结构里有大量指针,对应到文件的操作,部分实现即可。
static const struct file_operations mem_fops ={ .owner = THIS_MODULE, .open = mem_open, .release = mem_release, .ioctl = memdev_ioctl,};
2.2 文件结构file
file数据接口定义于<linux/fs.h>,其中几个重要的结构体成员如下:
struct file_operations *f_op:就是上面刚刚介绍的文件操作的集合结构。
mode_t f_mode:文件模式确定文件是可读的或者是可写的(或者都是), 通过位 FMODE_READ 和 FMODE_WRITE.
loff_t f_pos:当前读写位置. loff_t 在所有平台都是 64 位。驱动可以读这个值, 如果它需要知道文件中的当前位置, 但是正常地不应该改变它。
unsigned int f_flags:这些是文件标志, 例如 O_RDONLY, O_NONBLOCK, 和 O_SYNC. 驱动应当检查 O_NONBLOCK 标志来看是否是请求非阻塞操作。
void *private_data:open 系统调用设置这个指针为 NULL, 在为驱动调用 open 方法之前. 你可自由使用这个成员或者忽略它; 你可以使用这个成员来指向分配的数据, 但是接着你必须记住在内核销毁文件结构之前, 在 release 方法中释放那个内存. private_data 是一个有用的资源, 在系统调用间保留状态信息, 我们大部分例子模块都使用它。
2.3 node结构
inode 结构由内核在内部用来表示文件. 因此, 它和代表打开文件描述符的文件结构是不同的。可能有代表单个文件的多个打开描述符的许多文件结构, 但是它们都指向一个单个 inode 结构。
3. 字符设备的注册
内核中使用结构体 struct cdev来描述字符设备。
有 2 种方法来分配和初始化一个这些结构. 如果你想在运行时获得一个独立的 cdev 结构, 你可以为此使用这样的代码:
struct cdev *my_cdev = cdev_alloc();my_cdev->ops = &my_fops;
更常使用的方法来分配和初始化:
void cdev_init(struct cdev cdev, struct file_operations fops);
一旦 cdev 结构建立, 最后的步骤是把它告诉内核:
int cdev_add(struct cdev *dev, dev_t num, unsigned int count)
这里, dev 是 cdev 结构, num 是这个设备响应的第一个设备号, count 是应当关联到设备的设备号的数目. 常常 count 是 1。
从系统去除一个字符设备, 调用:
void cdev_del(struct cdev *dev);
具备了基本的知识后,再看驱动代码就简单多了:
#include <linux/module.h>#include <linux/types.h>#include <linux/fs.h>#include <linux/errno.h>#include <linux/mm.h>#include <linux/sched.h>#include <linux/init.h>#include <linux/cdev.h>#include <asm/io.h>#include <asm/system.h>#include <asm/uaccess.h>#include "memdev.h"static int mem_major = MEMDEV_MAJOR;//=0module_param(mem_major, int, S_IRUGO);struct mem_dev *mem_devp; /*设备结构体指针*/struct cdev cdev; /*struct mem_dev { char *data; unsigned long size; };*//*文件打开函数*/int mem_open(struct inode *inode, struct file *filp){ struct mem_dev *dev; /*获取次设备号*/ int num = MINOR(inode->i_rdev); if (num >= MEMDEV_NR_DEVS) return -ENODEV; dev = &mem_devp[num]; /*将设备描述结构指针赋值给文件私有数据指针*/ filp->private_data = dev; return 0; }/*文件释放函数*/int mem_release(struct inode *inode, struct file *filp){ return 0;}/*IO操作*/int memdev_ioctl(struct inode *inode, struct file *filp, unsigned int cmd, unsigned long arg){ int err = 0; int ret = 0; int ioarg = 0; /* 检测命令的有效性 */ if (_IOC_TYPE(cmd) != MEMDEV_IOC_MAGIC) return -EINVAL; if (_IOC_NR(cmd) > MEMDEV_IOC_MAXNR) return -EINVAL; /* 根据命令类型,检测参数空间是否可以访问 */ if (_IOC_DIR(cmd) & _IOC_READ) err = !access_ok(VERIFY_WRITE, (void *)arg, _IOC_SIZE(cmd)); else if (_IOC_DIR(cmd) & _IOC_WRITE) err = !access_ok(VERIFY_READ, (void *)arg, _IOC_SIZE(cmd)); if (err) return -EFAULT; /* 根据命令,执行相应的操作 */ switch(cmd) { /* 打印当前设备信息 */ case MEMDEV_IOCPRINT: printk("<--- CMD MEMDEV_IOCPRINT Done--->\n\n"); break; /* 获取参数 */ case MEMDEV_IOCGETDATA: ioarg = 1101; ret = __put_user(ioarg, (int *)arg); break; /* 设置参数 */ case MEMDEV_IOCSETDATA: ret = __get_user(ioarg, (int *)arg); printk("<--- In Kernel MEMDEV_IOCSETDATA ioarg = %d --->\n\n",ioarg); break; default: return -EINVAL; } return ret;}/*文件操作结构体*/static const struct file_operations mem_fops ={ .owner = THIS_MODULE, .open = mem_open, .release = mem_release, .ioctl = memdev_ioctl,};/*设备驱动模块加载函数*/static int memdev_init(void){ int result; int i; dev_t devno = MKDEV(mem_major, 0); /* 静态申请设备号*/ if (mem_major) result = register_chrdev_region(devno, 2, "memdev"); else /* 动态分配设备号 */ { result = alloc_chrdev_region(&devno, 0, 2, "memdev"); mem_major = MAJOR(devno); } if (result < 0) return result; /*初始化cdev结构*/ cdev_init(&cdev, &mem_fops); cdev.owner = THIS_MODULE; cdev.ops = &mem_fops; /* 注册字符设备 */ cdev_add(&cdev, MKDEV(mem_major, 0), MEMDEV_NR_DEVS); /* 为设备描述结构分配内存*/ mem_devp = kmalloc(MEMDEV_NR_DEVS * sizeof(struct mem_dev), GFP_KERNEL); if (!mem_devp) /*申请失败*/ { result = - ENOMEM; goto fail_malloc; } memset(mem_devp, 0, sizeof(struct mem_dev)); /*为设备分配内存*/ for (i=0; i < MEMDEV_NR_DEVS; i++) { mem_devp[i].size = MEMDEV_SIZE; mem_devp[i].data = kmalloc(MEMDEV_SIZE, GFP_KERNEL); memset(mem_devp[i].data, 0, MEMDEV_SIZE); } return 0; fail_malloc: unregister_chrdev_region(devno, 1); return result;}/*模块卸载函数*/static void memdev_exit(void){ cdev_del(&cdev); /*注销设备*/ kfree(mem_devp); /*释放设备结构体内存*/ unregister_chrdev_region(MKDEV(mem_major, 0), 2); /*释放设备号*/}MODULE_AUTHOR("David Xie");MODULE_LICENSE("GPL");module_init(memdev_init);module_exit(memdev_exit);
- Android 驱动程序Demo及流程
- springmvc工作流程及实例Demo
- 阿里云Android直播demo流程
- android RelativeLayout属性及demo
- Android定位详解及Demo
- Android实现简单字符驱动程序及测试
- 驱动程序开发流程详解
- 网络驱动程序--数据传输流程
- 驱动程序申请流程
- 驱动程序编写基本流程
- wince驱动程序流程
- linux驱动程序开发流程
- android启动流程及加速
- android 按键流程及映射
- Android竖式SeekBar实现及demo
- android NDK配置及使用demo
- Android画板的实现及demo
- Android扫描二维码及生成二维码Demo
- ACL 权限控制
- Subsequence 尺取法
- 【ulua入门】log(打印)lua中的table数据
- Unity优化之遮挡剔除Occlusion Culling
- OpenGL 显示列表
- Android 驱动程序Demo及流程
- Android开发 之 (协调布局)CoordinatorLayout与(依赖行为)Behavior
- HDOJ-1004 Let the Balloon Rise
- HTML入门笔记20-HTML中Unorder List标签
- Linux文件系统——
- C++实现双向链表
- Hadoop Configuration 管理配置文件与传递参数
- ArrayList中的toArray
- GPG