Android 驱动程序Demo及流程

很久前就想了解驱动程序的想法，这里现做一个简单的开始，从demo做起，看到Android驱动程序的基本运行流程，这对漏洞分析、检测和挖掘都是必要的。同样，本篇基本也是自己学习过程的记录，无干货。本篇大多数内容来自Linux设备驱动之Ioctl控制。

一、用户层

不管是漏洞检测，还是poc中，我们见到最多的函数就是ioctl()函数，这个函数就是用户层调用内核程序的接口。

/*
fd:文件描述符
cmd:控制命令
...:可选参数:插入*argp，具体内容依赖于cmd
*/
int ioctl(int fd,unsigned long cmd,...);

函数第一个参数文件句柄，可以通过open()获得，第二个参数是指令的值，和驱动程序里的switch()里的case值是对应的，第三个是可选参数，通常是一个指针，指向某个变量或者结构体。函数执行成功，返回0，出错返回-1。

下面来看一个用户层demo程序(代码取自Linux设备驱动之Ioctl控制，如有冒犯请联系删除)，和后面驱动程序是对应的，首先定义头文件。

#ifndef _MEMDEV_H_
#define _MEMDEV_H_

#include 

#ifndef MEMDEV_MAJOR
#define MEMDEV_MAJOR 0   /*预设的mem的主设备号*/
#endif

#ifndef MEMDEV_NR_DEVS
#define MEMDEV_NR_DEVS 2    /*设备数*/
#endif
/*mem设备描述结构体*/
struct mem_dev                                     
{                                                        
  char *data;                      
  unsigned long size;       
};

/* 定义幻数 */
#define MEMDEV_IOC_MAGIC  'k'

/* 定义命令 */
#define MEMDEV_IOCPRINT   _IO(MEMDEV_IOC_MAGIC, 1)
#define MEMDEV_IOCGETDATA _IOR(MEMDEV_IOC_MAGIC, 2, int)
#define MEMDEV_IOCSETDATA _IOW(MEMDEV_IOC_MAGIC, 3, int)

#define MEMDEV_IOC_MAXNR 3

#endif /* _MEMDEV_H_ */

#ifndef MEMDEV_SIZE
#define MEMDEV_SIZE 4096
#endif

用户层代码：

#include 
#include
#include
#include

#include "memdev.h"  /* 包含命令定义 */

int main()
{
    int fd = 0;
    int cmd;
    int arg = 0;
    char Buf[4096];


    /*打开设备文件*/
    fd = open("/dev/memdev0",O_RDWR);
    if (fd < 0)
    {
        printf("Open Dev Mem0 Error!\n");
        return -1;
    }

    /* 调用命令MEMDEV_IOCPRINT */
    printf("<--- Call MEMDEV_IOCPRINT --->\n");
    cmd = MEMDEV_IOCPRINT;
    if (ioctl(fd, cmd, &arg) < 0)
        {
            printf("Call cmd MEMDEV_IOCPRINT fail\n");
            return -1;
    }


    /* 调用命令MEMDEV_IOCSETDATA */
    printf("<--- Call MEMDEV_IOCSETDATA --->\n");
    cmd = MEMDEV_IOCSETDATA;
    arg = 2007;
    if (ioctl(fd, cmd, &arg) < 0)
        {
            printf("Call cmd MEMDEV_IOCSETDATA fail\n");
            return -1;
    }


    /* 调用命令MEMDEV_IOCGETDATA */
    printf("<--- Call MEMDEV_IOCGETDATA --->\n");
    cmd = MEMDEV_IOCGETDATA;
    if (ioctl(fd, cmd, &arg) < 0)
        {
            printf("Call cmd MEMDEV_IOCGETDATA fail\n");
            return -1;
    }
    printf("<--- In User Space MEMDEV_IOCGETDATA Get Data is %d --->\n\n",arg);    

    close(fd);
    return 0;    
}

可以看到，程序调用了3次ioctl()函数，分别传递了3个cmd值，所以，我们后面可以看到，在驱动程序对应的ioctl函数里应该至少有这3个值对应的case。

据此，可以看到在用户层调用ioctl()函数十分简单，大致流程其实就是参数构造过程，fd参数构造很简单，直接获取open()对应的设备文件即可获得句柄。剩下第二个第三个参数的构造，实际上比较麻烦。首先，我学习这个不是为了开发，而是和漏洞相关的工作。那么，这里就有几个问题：

1) 我们需要调用的驱动功能可能没有源码，那么如何构造源码参数2？
2)即使存在源码，我们如果要做批量的fuzz，如何比较通用的构造参数2？

参数3是个指针，可能指向一个结构体，那么参数3构造同样存在上面的两个问题，而且更加不好解决。即使是写漏洞检测代码或者漏洞poc，找到这些结构体依赖也是一件体力活。

二、驱动层

在用户层调用了ioctl函数之后，内核里面对应的ioctl函数会被调用，我们暂时不去关心这中间的调用链。我们把重点放在内核层的ioctl函数以及驱动程序的执行流程上。

首先，驱动程序不想我们常见的c语言函数，不是以main()作为函数的入口的。取而代之，在驱动程序中两个特殊的函数：

module_init(initFunc);
module_exit(exitFunc);

module_init定义驱动被加载时的行为，在此函数应该完成一些初始化操作，通过“insmod 模块文件名”命令安装时，次函数会被调用。module_exit定义驱动被卸载时的行为，次函数函数中完成一些“善后工作”，通过“rmmod 模块文件名”来卸载模块时，函数会被调用。所以一个最简单的helloworld类似这样：

int text_init(void){
    printk("<0>Hello World!");
    return 0;
}

void text_cleanup(void){
   printk("<0>Goodbye World!");
}

module_init(text_init);            //注册加载时执行的函数
module_exit(text_cleanup);     //注册卸载时执行的函数

显然，这样的helloworld定义行为太少，还有很多工作没做，比如用户层如何调用此驱动。前面我们知道，我们调用驱动程序是通过设备文件的形式的，接下来先介绍一些字符设备驱动程序的知识，linux设备驱动第三篇：如何写一个简单的字符设备驱动？这篇文章内容不错。

1. 主设备号与此设备号

主设备号表示具体的驱动程序，次设备号由内核使用，表示具体的设备文件。例如，虚拟控制台和串口终端有驱动程序4管理，而不同的终端分别有不同的次设备号。

1.1 设备号数据结构

内核中，dev_t用于描述设备标号，为32位的int类型，前12位表示主设备号，后20位表示此设备号。dev_t和主设备号、次设备号可以通过linux中一些宏方面的转换。

//获取主设备号
MAJOR(dev_t dev);
//获取次设备号
MINOR(dev_t dev);
//转换为dev_t
MKDEV(int major, int minor);

1.2 分配和释放设备号

int register_chrdev_region(dev_t first, unsigned int count, const char name);

first是要分配的设备编号范围的起始值。count是连续设备的编号的个数。name是和该设备编号范围关联的设备名称，他将出现在/proc/devices和sysfs中。此函数成功返回0，失败返回负的错误码。

此函数是在已知主设备号的情况下使用，在未知主设备号的情况下，我们使用下面的函数：

int alloc_chrdev_region(dev_t dev, unsigned int firstminor, unsigned int count, const char *name);

dev用于输出申请到的设备编号，firstminor要使用的第一个次设备编号。

在不使用时需要释放这些设备编号，已提供其他设备程序使用：

void unregister_chrdev_region(dev_t dev, unsigned int count);

此函数多在模块的清除函数中调用。

以上完成设备编号注册。

2. 重要数据结构

2.1 文件操作file_operations

file_operations数据结构定义在 , 是一个函数指针的集合，设备所能提供的功能大部分都由此结构提供。这个数据结构里有大量指针，对应到文件的操作，部分实现即可。

static const struct file_operations mem_fops =
{
  .owner = THIS_MODULE,
  .open = mem_open,
  .release = mem_release,
  .ioctl = memdev_ioctl,
};

2.2 文件结构file

file数据接口定义于,其中几个重要的结构体成员如下：

struct file_operations *f_op：就是上面刚刚介绍的文件操作的集合结构。

mode_t f_mode：文件模式确定文件是可读的或者是可写的(或者都是), 通过位 FMODE_READ 和 FMODE_WRITE.

loff_t f_pos：当前读写位置. loff_t 在所有平台都是 64 位。驱动可以读这个值, 如果它需要知道文件中的当前位置, 但是正常地不应该改变它。

unsigned int f_flags：这些是文件标志, 例如 O_RDONLY, O_NONBLOCK, 和 O_SYNC. 驱动应当检查 O_NONBLOCK 标志来看是否是请求非阻塞操作。

void *private_data：open 系统调用设置这个指针为 NULL, 在为驱动调用 open 方法之前. 你可自由使用这个成员或者忽略它; 你可以使用这个成员来指向分配的数据, 但是接着你必须记住在内核销毁文件结构之前, 在 release 方法中释放那个内存. private_data 是一个有用的资源, 在系统调用间保留状态信息, 我们大部分例子模块都使用它。

2.3 node结构

inode 结构由内核在内部用来表示文件. 因此, 它和代表打开文件描述符的文件结构是不同的。可能有代表单个文件的多个打开描述符的许多文件结构, 但是它们都指向一个单个 inode 结构。

3. 字符设备的注册

内核中使用结构体 struct cdev来描述字符设备。

有 2 种方法来分配和初始化一个这些结构. 如果你想在运行时获得一个独立的 cdev 结构, 你可以为此使用这样的代码:

struct cdev *my_cdev = cdev_alloc();
my_cdev->ops = &my_fops;

更常使用的方法来分配和初始化：

void cdev_init(struct cdev cdev, struct file_operations fops);

一旦 cdev 结构建立, 最后的步骤是把它告诉内核：

int cdev_add(struct cdev *dev, dev_t num, unsigned int count)

这里, dev 是 cdev 结构, num 是这个设备响应的第一个设备号, count 是应当关联到设备的设备号的数目. 常常 count 是 1。

从系统去除一个字符设备, 调用:

void cdev_del(struct cdev *dev);

具备了基本的知识后，再看驱动代码就简单多了：

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#include "memdev.h"
static int mem_major = MEMDEV_MAJOR;//=0

module_param(mem_major, int, S_IRUGO);

struct mem_dev *mem_devp; /*设备结构体指针*/

struct cdev cdev; 

/*struct mem_dev                                     
{                                                        
  char *data;                      
  unsigned long size;       
};
*/

/*文件打开函数*/
int mem_open(struct inode *inode, struct file *filp)
{
    struct mem_dev *dev;

    /*获取次设备号*/
    int num = MINOR(inode->i_rdev);

    if (num >= MEMDEV_NR_DEVS) 
            return -ENODEV;
    dev = &mem_devp[num];

    /*将设备描述结构指针赋值给文件私有数据指针*/
    filp->private_data = dev;

    return 0; 
}

/*文件释放函数*/
int mem_release(struct inode *inode, struct file *filp)
{
  return 0;
}

/*IO操作*/
int memdev_ioctl(struct inode *inode, struct file *filp,
                 unsigned int cmd, unsigned long arg)
{

    int err = 0;
    int ret = 0;
    int ioarg = 0;

    /* 检测命令的有效性 */
    if (_IOC_TYPE(cmd) != MEMDEV_IOC_MAGIC) 
        return -EINVAL;
    if (_IOC_NR(cmd) > MEMDEV_IOC_MAXNR) 
        return -EINVAL;

    /* 根据命令类型，检测参数空间是否可以访问 */
    if (_IOC_DIR(cmd) & _IOC_READ)
        err = !access_ok(VERIFY_WRITE, (void *)arg, _IOC_SIZE(cmd));
    else if (_IOC_DIR(cmd) & _IOC_WRITE)
        err = !access_ok(VERIFY_READ, (void *)arg, _IOC_SIZE(cmd));
    if (err) 
        return -EFAULT;

    /* 根据命令，执行相应的操作 */
    switch(cmd) {

      /* 打印当前设备信息 */
      case MEMDEV_IOCPRINT:
          printk("<--- CMD MEMDEV_IOCPRINT Done--->\n\n");
        break;

      /* 获取参数 */
      case MEMDEV_IOCGETDATA: 
        ioarg = 1101;
        ret = __put_user(ioarg, (int *)arg);
        break;

      /* 设置参数 */
      case MEMDEV_IOCSETDATA: 
        ret = __get_user(ioarg, (int *)arg);
        printk("<--- In Kernel MEMDEV_IOCSETDATA ioarg = %d --->\n\n",ioarg);
        break;

      default:  
        return -EINVAL;
    }
    return ret;

}

/*文件操作结构体*/
static const struct file_operations mem_fops =
{
  .owner = THIS_MODULE,
  .open = mem_open,
  .release = mem_release,
  .ioctl = memdev_ioctl,
};

/*设备驱动模块加载函数*/
static int memdev_init(void)
{
  int result;
  int i;

  dev_t devno = MKDEV(mem_major, 0);

  /* 静态申请设备号*/
  if (mem_major)
    result = register_chrdev_region(devno, 2, "memdev");
  else  /* 动态分配设备号 */
  {
    result = alloc_chrdev_region(&devno, 0, 2, "memdev");
    mem_major = MAJOR(devno);
  }  

  if (result < 0)
    return result;

  /*初始化cdev结构*/
  cdev_init(&cdev, &mem_fops);
  cdev.owner = THIS_MODULE;
  cdev.ops = &mem_fops;

  /* 注册字符设备 */
  cdev_add(&cdev, MKDEV(mem_major, 0), MEMDEV_NR_DEVS);

  /* 为设备描述结构分配内存*/
  mem_devp = kmalloc(MEMDEV_NR_DEVS * sizeof(struct mem_dev), GFP_KERNEL);
  if (!mem_devp)    /*申请失败*/
  {
    result =  - ENOMEM;
    goto fail_malloc;
  }
  memset(mem_devp, 0, sizeof(struct mem_dev));

  /*为设备分配内存*/
  for (i=0; i < MEMDEV_NR_DEVS; i++) 
  {
        mem_devp[i].size = MEMDEV_SIZE;
        mem_devp[i].data = kmalloc(MEMDEV_SIZE, GFP_KERNEL);
        memset(mem_devp[i].data, 0, MEMDEV_SIZE);
  }

  return 0;

  fail_malloc: 
  unregister_chrdev_region(devno, 1);

  return result;
}

/*模块卸载函数*/
static void memdev_exit(void)
{
  cdev_del(&cdev);   /*注销设备*/
  kfree(mem_devp);     /*释放设备结构体内存*/
  unregister_chrdev_region(MKDEV(mem_major, 0), 2); /*释放设备号*/
}

MODULE_AUTHOR("David Xie");
MODULE_LICENSE("GPL");

module_init(memdev_init);
module_exit(memdev_exit);