Android 驱动程序Demo及流程

很久前就想了解驱动程序的想法，这里现做一个简单的开始，从demo做起，看到Android驱动程序的基本运行流程，这对漏洞分析、检测和挖掘都是必要的。同样，本篇基本也是自己学习过程的记录，无干货。本篇大多数内容来自Linux设备驱动之Ioctl控制。

一、用户层

不管是漏洞检测，还是poc中，我们见到最多的函数就是ioctl()函数，这个函数就是用户层调用内核程序的接口。

/*fd:文件描述符cmd:控制命令...:可选参数:插入*argp，具体内容依赖于cmd*/int ioctl(int fd,unsigned long cmd,...);

函数第一个参数文件句柄，可以通过open()获得，第二个参数是指令的值，和驱动程序里的switch()里的case值是对应的，第三个是可选参数，通常是一个指针，指向某个变量或者结构体。函数执行成功，返回0，出错返回-1。

下面来看一个用户层demo程序(代码取自Linux设备驱动之Ioctl控制，如有冒犯请联系删除)，和后面驱动程序是对应的，首先定义头文件。

#ifndef _MEMDEV_H_#define _MEMDEV_H_#include <linux/ioctl.h>#ifndef MEMDEV_MAJOR#define MEMDEV_MAJOR 0   /*预设的mem的主设备号*/#endif#ifndef MEMDEV_NR_DEVS#define MEMDEV_NR_DEVS 2    /*设备数*/#endif/*mem设备描述结构体*/struct mem_dev                                     {                                                          char *data;                        unsigned long size;       };/* 定义幻数 */#define MEMDEV_IOC_MAGIC  'k'/* 定义命令 */#define MEMDEV_IOCPRINT   _IO(MEMDEV_IOC_MAGIC, 1)#define MEMDEV_IOCGETDATA _IOR(MEMDEV_IOC_MAGIC, 2, int)#define MEMDEV_IOCSETDATA _IOW(MEMDEV_IOC_MAGIC, 3, int)#define MEMDEV_IOC_MAXNR 3#endif /* _MEMDEV_H_ */#ifndef MEMDEV_SIZE#define MEMDEV_SIZE 4096#endif

用户层代码：

#include <stdio.h>#include<sys/types.h>#include<sys/stat.h>#include<fcntl.h>#include "memdev.h"  /* 包含命令定义 */int main(){    int fd = 0;    int cmd;    int arg = 0;    char Buf[4096];    /*打开设备文件*/    fd = open("/dev/memdev0",O_RDWR);    if (fd < 0)    {        printf("Open Dev Mem0 Error!\n");        return -1;    }    /* 调用命令MEMDEV_IOCPRINT */    printf("<--- Call MEMDEV_IOCPRINT --->\n");    cmd = MEMDEV_IOCPRINT;    if (ioctl(fd, cmd, &arg) < 0)        {            printf("Call cmd MEMDEV_IOCPRINT fail\n");            return -1;    }    /* 调用命令MEMDEV_IOCSETDATA */    printf("<--- Call MEMDEV_IOCSETDATA --->\n");    cmd = MEMDEV_IOCSETDATA;    arg = 2007;    if (ioctl(fd, cmd, &arg) < 0)        {            printf("Call cmd MEMDEV_IOCSETDATA fail\n");            return -1;    }    /* 调用命令MEMDEV_IOCGETDATA */    printf("<--- Call MEMDEV_IOCGETDATA --->\n");    cmd = MEMDEV_IOCGETDATA;    if (ioctl(fd, cmd, &arg) < 0)        {            printf("Call cmd MEMDEV_IOCGETDATA fail\n");            return -1;    }    printf("<--- In User Space MEMDEV_IOCGETDATA Get Data is %d --->\n\n",arg);        close(fd);    return 0;    }

可以看到，程序调用了3次ioctl()函数，分别传递了3个cmd值，所以，我们后面可以看到，在驱动程序对应的ioctl函数里应该至少有这3个值对应的case。

据此，可以看到在用户层调用ioctl()函数十分简单，大致流程其实就是参数构造过程，fd参数构造很简单，直接获取open()对应的设备文件即可获得句柄。剩下第二个第三个参数的构造，实际上比较麻烦。首先，我学习这个不是为了开发，而是和漏洞相关的工作。那么，这里就有几个问题：

1) 我们需要调用的驱动功能可能没有源码，那么如何构造源码参数2？
2)即使存在源码，我们如果要做批量的fuzz，如何比较通用的构造参数2？

参数3是个指针，可能指向一个结构体，那么参数3构造同样存在上面的两个问题，而且更加不好解决。即使是写漏洞检测代码或者漏洞poc，找到这些结构体依赖也是一件体力活。

二、驱动层

在用户层调用了ioctl函数之后，内核里面对应的ioctl函数会被调用，我们暂时不去关心这中间的调用链。我们把重点放在内核层的ioctl函数以及驱动程序的执行流程上。

首先，驱动程序不想我们常见的c语言函数，不是以main()作为函数的入口的。取而代之，在驱动程序中两个特殊的函数：

module_init(initFunc);module_exit(exitFunc);

module_init定义驱动被加载时的行为，在此函数应该完成一些初始化操作，通过“insmod 模块文件名”命令安装时，次函数会被调用。module_exit定义驱动被卸载时的行为，次函数函数中完成一些“善后工作”，通过“rmmod 模块文件名”来卸载模块时，函数会被调用。所以一个最简单的helloworld类似这样：

int text_init(void){    printk("<0>Hello World!");    return 0;}void text_cleanup(void){   printk("<0>Goodbye World!");}module_init(text_init);            //注册加载时执行的函数module_exit(text_cleanup);     //注册卸载时执行的函数

显然，这样的helloworld定义行为太少，还有很多工作没做，比如用户层如何调用此驱动。前面我们知道，我们调用驱动程序是通过设备文件的形式的，接下来先介绍一些字符设备驱动程序的知识，linux设备驱动第三篇：如何写一个简单的字符设备驱动？这篇文章内容不错。

1. 主设备号与此设备号

主设备号表示具体的驱动程序，次设备号由内核使用，表示具体的设备文件。例如，虚拟控制台和串口终端有驱动程序4管理，而不同的终端分别有不同的次设备号。

1.1 设备号数据结构

内核中，dev_t用于描述设备标号，为32位的int类型，前12位表示主设备号，后20位表示此设备号。dev_t和主设备号、次设备号可以通过linux中一些宏方面的转换。

//获取主设备号MAJOR(dev_t dev);//获取次设备号MINOR(dev_t dev);//转换为dev_tMKDEV(int major, int minor);

1.2 分配和释放设备号

int register_chrdev_region(dev_t first, unsigned int count, const char name);

first是要分配的设备编号范围的起始值。count是连续设备的编号的个数。name是和该设备编号范围关联的设备名称，他将出现在/proc/devices和sysfs中。此函数成功返回0，失败返回负的错误码。

此函数是在已知主设备号的情况下使用，在未知主设备号的情况下，我们使用下面的函数：

int alloc_chrdev_region(dev_t dev, unsigned int firstminor, unsigned int count, const char *name);

dev用于输出申请到的设备编号，firstminor要使用的第一个次设备编号。

在不使用时需要释放这些设备编号，已提供其他设备程序使用：

void unregister_chrdev_region(dev_t dev, unsigned int count);

此函数多在模块的清除函数中调用。

以上完成设备编号注册。

2. 重要数据结构

2.1 文件操作file_operations

file_operations数据结构定义在 <linux/fs.h>, 是一个函数指针的集合，设备所能提供的功能大部分都由此结构提供。这个数据结构里有大量指针，对应到文件的操作，部分实现即可。

static const struct file_operations mem_fops ={  .owner = THIS_MODULE,  .open = mem_open,  .release = mem_release,  .ioctl = memdev_ioctl,};

2.2 文件结构file

file数据接口定义于<linux/fs.h>,其中几个重要的结构体成员如下：

struct file_operations *f_op：就是上面刚刚介绍的文件操作的集合结构。

mode_t f_mode：文件模式确定文件是可读的或者是可写的(或者都是), 通过位 FMODE_READ 和 FMODE_WRITE.

loff_t f_pos：当前读写位置. loff_t 在所有平台都是 64 位。驱动可以读这个值, 如果它需要知道文件中的当前位置, 但是正常地不应该改变它。

unsigned int f_flags：这些是文件标志, 例如 O_RDONLY, O_NONBLOCK, 和 O_SYNC. 驱动应当检查 O_NONBLOCK 标志来看是否是请求非阻塞操作。

void *private_data：open 系统调用设置这个指针为 NULL, 在为驱动调用 open 方法之前. 你可自由使用这个成员或者忽略它; 你可以使用这个成员来指向分配的数据, 但是接着你必须记住在内核销毁文件结构之前, 在 release 方法中释放那个内存. private_data 是一个有用的资源, 在系统调用间保留状态信息, 我们大部分例子模块都使用它。

2.3 node结构

inode 结构由内核在内部用来表示文件. 因此, 它和代表打开文件描述符的文件结构是不同的。可能有代表单个文件的多个打开描述符的许多文件结构, 但是它们都指向一个单个 inode 结构。

3. 字符设备的注册

内核中使用结构体 struct cdev来描述字符设备。

有 2 种方法来分配和初始化一个这些结构. 如果你想在运行时获得一个独立的 cdev 结构, 你可以为此使用这样的代码:

struct cdev *my_cdev = cdev_alloc();my_cdev->ops = &my_fops;

更常使用的方法来分配和初始化：

void cdev_init(struct cdev cdev, struct file_operations fops);

一旦 cdev 结构建立, 最后的步骤是把它告诉内核：

int cdev_add(struct cdev *dev, dev_t num, unsigned int count)

这里, dev 是 cdev 结构, num 是这个设备响应的第一个设备号, count 是应当关联到设备的设备号的数目. 常常 count 是 1。

从系统去除一个字符设备, 调用:

void cdev_del(struct cdev *dev);

具备了基本的知识后，再看驱动代码就简单多了：

#include <linux/module.h>#include <linux/types.h>#include <linux/fs.h>#include <linux/errno.h>#include <linux/mm.h>#include <linux/sched.h>#include <linux/init.h>#include <linux/cdev.h>#include <asm/io.h>#include <asm/system.h>#include <asm/uaccess.h>#include "memdev.h"static int mem_major = MEMDEV_MAJOR;//=0module_param(mem_major, int, S_IRUGO);struct mem_dev *mem_devp; /*设备结构体指针*/struct cdev cdev; /*struct mem_dev                                     {                                                          char *data;                        unsigned long size;       };*//*文件打开函数*/int mem_open(struct inode *inode, struct file *filp){    struct mem_dev *dev;    /*获取次设备号*/    int num = MINOR(inode->i_rdev);    if (num >= MEMDEV_NR_DEVS)             return -ENODEV;    dev = &mem_devp[num];    /*将设备描述结构指针赋值给文件私有数据指针*/    filp->private_data = dev;    return 0; }/*文件释放函数*/int mem_release(struct inode *inode, struct file *filp){  return 0;}/*IO操作*/int memdev_ioctl(struct inode *inode, struct file *filp,                 unsigned int cmd, unsigned long arg){    int err = 0;    int ret = 0;    int ioarg = 0;    /* 检测命令的有效性 */    if (_IOC_TYPE(cmd) != MEMDEV_IOC_MAGIC)         return -EINVAL;    if (_IOC_NR(cmd) > MEMDEV_IOC_MAXNR)         return -EINVAL;    /* 根据命令类型，检测参数空间是否可以访问 */    if (_IOC_DIR(cmd) & _IOC_READ)        err = !access_ok(VERIFY_WRITE, (void *)arg, _IOC_SIZE(cmd));    else if (_IOC_DIR(cmd) & _IOC_WRITE)        err = !access_ok(VERIFY_READ, (void *)arg, _IOC_SIZE(cmd));    if (err)         return -EFAULT;    /* 根据命令，执行相应的操作 */    switch(cmd) {      /* 打印当前设备信息 */      case MEMDEV_IOCPRINT:          printk("<--- CMD MEMDEV_IOCPRINT Done--->\n\n");        break;      /* 获取参数 */      case MEMDEV_IOCGETDATA:         ioarg = 1101;        ret = __put_user(ioarg, (int *)arg);        break;      /* 设置参数 */      case MEMDEV_IOCSETDATA:         ret = __get_user(ioarg, (int *)arg);        printk("<--- In Kernel MEMDEV_IOCSETDATA ioarg = %d --->\n\n",ioarg);        break;      default:          return -EINVAL;    }    return ret;}/*文件操作结构体*/static const struct file_operations mem_fops ={  .owner = THIS_MODULE,  .open = mem_open,  .release = mem_release,  .ioctl = memdev_ioctl,};/*设备驱动模块加载函数*/static int memdev_init(void){  int result;  int i;  dev_t devno = MKDEV(mem_major, 0);  /* 静态申请设备号*/  if (mem_major)    result = register_chrdev_region(devno, 2, "memdev");  else  /* 动态分配设备号 */  {    result = alloc_chrdev_region(&devno, 0, 2, "memdev");    mem_major = MAJOR(devno);  }    if (result < 0)    return result;  /*初始化cdev结构*/  cdev_init(&cdev, &mem_fops);  cdev.owner = THIS_MODULE;  cdev.ops = &mem_fops;  /* 注册字符设备 */  cdev_add(&cdev, MKDEV(mem_major, 0), MEMDEV_NR_DEVS);  /* 为设备描述结构分配内存*/  mem_devp = kmalloc(MEMDEV_NR_DEVS * sizeof(struct mem_dev), GFP_KERNEL);  if (!mem_devp)    /*申请失败*/  {    result =  - ENOMEM;    goto fail_malloc;  }  memset(mem_devp, 0, sizeof(struct mem_dev));  /*为设备分配内存*/  for (i=0; i < MEMDEV_NR_DEVS; i++)   {        mem_devp[i].size = MEMDEV_SIZE;        mem_devp[i].data = kmalloc(MEMDEV_SIZE, GFP_KERNEL);        memset(mem_devp[i].data, 0, MEMDEV_SIZE);  }  return 0;  fail_malloc:   unregister_chrdev_region(devno, 1);  return result;}/*模块卸载函数*/static void memdev_exit(void){  cdev_del(&cdev);   /*注销设备*/  kfree(mem_devp);     /*释放设备结构体内存*/  unregister_chrdev_region(MKDEV(mem_major, 0), 2); /*释放设备号*/}MODULE_AUTHOR("David Xie");MODULE_LICENSE("GPL");module_init(memdev_init);module_exit(memdev_exit);