很久前就想了解驱动程序的想法,这里现做一个简单的开始,从demo做起,看到Android驱动程序的基本运行流程,这对漏洞分析、检测和挖掘都是必要的。同样,本篇基本也是自己学习过程的记录,无干货。本篇大多数内容来自Linux设备驱动之Ioctl控制。
不管是漏洞检测,还是poc中,我们见到最多的函数就是ioctl()函数,这个函数就是用户层调用内核程序的接口。
/*
fd:文件描述符
cmd:控制命令
...:可选参数:插入*argp,具体内容依赖于cmd
*/
int ioctl(int fd,unsigned long cmd,...);
函数第一个参数文件句柄,可以通过open()获得,第二个参数是指令的值,和驱动程序里的switch()里的case值是对应的,第三个是可选参数,通常是一个指针,指向某个变量或者结构体。函数执行成功,返回0,出错返回-1。
下面来看一个用户层demo程序(代码取自Linux设备驱动之Ioctl控制,如有冒犯请联系删除),和后面驱动程序是对应的,首先定义头文件。
#ifndef _MEMDEV_H_
#define _MEMDEV_H_
#include
#ifndef MEMDEV_MAJOR
#define MEMDEV_MAJOR 0 /*预设的mem的主设备号*/
#endif
#ifndef MEMDEV_NR_DEVS
#define MEMDEV_NR_DEVS 2 /*设备数*/
#endif
/*mem设备描述结构体*/
struct mem_dev
{
char *data;
unsigned long size;
};
/* 定义幻数 */
#define MEMDEV_IOC_MAGIC 'k'
/* 定义命令 */
#define MEMDEV_IOCPRINT _IO(MEMDEV_IOC_MAGIC, 1)
#define MEMDEV_IOCGETDATA _IOR(MEMDEV_IOC_MAGIC, 2, int)
#define MEMDEV_IOCSETDATA _IOW(MEMDEV_IOC_MAGIC, 3, int)
#define MEMDEV_IOC_MAXNR 3
#endif /* _MEMDEV_H_ */
#ifndef MEMDEV_SIZE
#define MEMDEV_SIZE 4096
#endif
用户层代码:
#include
#include
#include
#include
#include "memdev.h" /* 包含命令定义 */
int main()
{
int fd = 0;
int cmd;
int arg = 0;
char Buf[4096];
/*打开设备文件*/
fd = open("/dev/memdev0",O_RDWR);
if (fd < 0)
{
printf("Open Dev Mem0 Error!\n");
return -1;
}
/* 调用命令MEMDEV_IOCPRINT */
printf("<--- Call MEMDEV_IOCPRINT --->\n");
cmd = MEMDEV_IOCPRINT;
if (ioctl(fd, cmd, &arg) < 0)
{
printf("Call cmd MEMDEV_IOCPRINT fail\n");
return -1;
}
/* 调用命令MEMDEV_IOCSETDATA */
printf("<--- Call MEMDEV_IOCSETDATA --->\n");
cmd = MEMDEV_IOCSETDATA;
arg = 2007;
if (ioctl(fd, cmd, &arg) < 0)
{
printf("Call cmd MEMDEV_IOCSETDATA fail\n");
return -1;
}
/* 调用命令MEMDEV_IOCGETDATA */
printf("<--- Call MEMDEV_IOCGETDATA --->\n");
cmd = MEMDEV_IOCGETDATA;
if (ioctl(fd, cmd, &arg) < 0)
{
printf("Call cmd MEMDEV_IOCGETDATA fail\n");
return -1;
}
printf("<--- In User Space MEMDEV_IOCGETDATA Get Data is %d --->\n\n",arg);
close(fd);
return 0;
}
可以看到,程序调用了3次ioctl()函数,分别传递了3个cmd值,所以,我们后面可以看到,在驱动程序对应的ioctl函数里应该至少有这3个值对应的case。
据此,可以看到在用户层调用ioctl()函数十分简单,大致流程其实就是参数构造过程,fd参数构造很简单,直接获取open()对应的设备文件即可获得句柄。剩下第二个第三个参数的构造,实际上比较麻烦。首先,我学习这个不是为了开发,而是和漏洞相关的工作。那么,这里就有几个问题:
1) 我们需要调用的驱动功能可能没有源码,那么如何构造源码参数2?
2)即使存在源码,我们如果要做批量的fuzz,如何比较通用的构造参数2?
参数3是个指针,可能指向一个结构体,那么参数3构造同样存在上面的两个问题,而且更加不好解决。即使是写漏洞检测代码或者漏洞poc,找到这些结构体依赖也是一件体力活。
在用户层调用了ioctl函数之后,内核里面对应的ioctl函数会被调用,我们暂时不去关心这中间的调用链。我们把重点放在内核层的ioctl函数以及驱动程序的执行流程上。
首先,驱动程序不想我们常见的c语言函数,不是以main()作为函数的入口的。取而代之,在驱动程序中两个特殊的函数:
module_init(initFunc);
module_exit(exitFunc);
module_init定义驱动被加载时的行为,在此函数应该完成一些初始化操作,通过“insmod 模块文件名”命令安装时,次函数会被调用。module_exit定义驱动被卸载时的行为,次函数函数中完成一些“善后工作”,通过“rmmod 模块文件名”来卸载模块时,函数会被调用。所以一个最简单的helloworld类似这样:
int text_init(void){
printk("<0>Hello World!");
return 0;
}
void text_cleanup(void){
printk("<0>Goodbye World!");
}
module_init(text_init); //注册加载时执行的函数
module_exit(text_cleanup); //注册卸载时执行的函数
显然,这样的helloworld定义行为太少,还有很多工作没做,比如用户层如何调用此驱动。前面我们知道,我们调用驱动程序是通过设备文件的形式的,接下来先介绍一些字符设备驱动程序的知识,linux设备驱动第三篇:如何写一个简单的字符设备驱动?这篇文章内容不错。
主设备号表示具体的驱动程序,次设备号由内核使用,表示具体的设备文件。例如,虚拟控制台和串口终端有驱动程序4管理,而不同的终端分别有不同的次设备号。
内核中,dev_t用于描述设备标号,为32位的int类型,前12位表示主设备号,后20位表示此设备号。dev_t和主设备号、次设备号可以通过linux中一些宏方面的转换。
//获取主设备号
MAJOR(dev_t dev);
//获取次设备号
MINOR(dev_t dev);
//转换为dev_t
MKDEV(int major, int minor);
int register_chrdev_region(dev_t first, unsigned int count, const char name);
first是要分配的设备编号范围的起始值。count是连续设备的编号的个数。name是和该设备编号范围关联的设备名称,他将出现在/proc/devices和sysfs中。此函数成功返回0,失败返回负的错误码。
此函数是在已知主设备号的情况下使用,在未知主设备号的情况下,我们使用下面的函数:
int alloc_chrdev_region(dev_t dev, unsigned int firstminor, unsigned int count, const char *name);
dev用于输出申请到的设备编号,firstminor要使用的第一个次设备编号。
在不使用时需要释放这些设备编号,已提供其他设备程序使用:
void unregister_chrdev_region(dev_t dev, unsigned int count);
此函数多在模块的清除函数中调用。
以上完成设备编号注册。
file_operations数据结构定义在
static const struct file_operations mem_fops =
{
.owner = THIS_MODULE,
.open = mem_open,
.release = mem_release,
.ioctl = memdev_ioctl,
};
file数据接口定义于
struct file_operations *f_op:就是上面刚刚介绍的文件操作的集合结构。
mode_t f_mode:文件模式确定文件是可读的或者是可写的(或者都是), 通过位 FMODE_READ 和 FMODE_WRITE.
loff_t f_pos:当前读写位置. loff_t 在所有平台都是 64 位。驱动可以读这个值, 如果它需要知道文件中的当前位置, 但是正常地不应该改变它。
unsigned int f_flags:这些是文件标志, 例如 O_RDONLY, O_NONBLOCK, 和 O_SYNC. 驱动应当检查 O_NONBLOCK 标志来看是否是请求非阻塞操作。
void *private_data:open 系统调用设置这个指针为 NULL, 在为驱动调用 open 方法之前. 你可自由使用这个成员或者忽略它; 你可以使用这个成员来指向分配的数据, 但是接着你必须记住在内核销毁文件结构之前, 在 release 方法中释放那个内存. private_data 是一个有用的资源, 在系统调用间保留状态信息, 我们大部分例子模块都使用它。
inode 结构由内核在内部用来表示文件. 因此, 它和代表打开文件描述符的文件结构是不同的。可能有代表单个文件的多个打开描述符的许多文件结构, 但是它们都指向一个单个 inode 结构。
内核中使用结构体 struct cdev来描述字符设备。
有 2 种方法来分配和初始化一个这些结构. 如果你想在运行时获得一个独立的 cdev 结构, 你可以为此使用这样的代码:
struct cdev *my_cdev = cdev_alloc();
my_cdev->ops = &my_fops;
更常使用的方法来分配和初始化:
void cdev_init(struct cdev cdev, struct file_operations fops);
一旦 cdev 结构建立, 最后的步骤是把它告诉内核:
int cdev_add(struct cdev *dev, dev_t num, unsigned int count)
这里, dev 是 cdev 结构, num 是这个设备响应的第一个设备号, count 是应当关联到设备的设备号的数目. 常常 count 是 1。
从系统去除一个字符设备, 调用:
void cdev_del(struct cdev *dev);
具备了基本的知识后,再看驱动代码就简单多了:
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include "memdev.h"
static int mem_major = MEMDEV_MAJOR;//=0
module_param(mem_major, int, S_IRUGO);
struct mem_dev *mem_devp; /*设备结构体指针*/
struct cdev cdev;
/*struct mem_dev
{
char *data;
unsigned long size;
};
*/
/*文件打开函数*/
int mem_open(struct inode *inode, struct file *filp)
{
struct mem_dev *dev;
/*获取次设备号*/
int num = MINOR(inode->i_rdev);
if (num >= MEMDEV_NR_DEVS)
return -ENODEV;
dev = &mem_devp[num];
/*将设备描述结构指针赋值给文件私有数据指针*/
filp->private_data = dev;
return 0;
}
/*文件释放函数*/
int mem_release(struct inode *inode, struct file *filp)
{
return 0;
}
/*IO操作*/
int memdev_ioctl(struct inode *inode, struct file *filp,
unsigned int cmd, unsigned long arg)
{
int err = 0;
int ret = 0;
int ioarg = 0;
/* 检测命令的有效性 */
if (_IOC_TYPE(cmd) != MEMDEV_IOC_MAGIC)
return -EINVAL;
if (_IOC_NR(cmd) > MEMDEV_IOC_MAXNR)
return -EINVAL;
/* 根据命令类型,检测参数空间是否可以访问 */
if (_IOC_DIR(cmd) & _IOC_READ)
err = !access_ok(VERIFY_WRITE, (void *)arg, _IOC_SIZE(cmd));
else if (_IOC_DIR(cmd) & _IOC_WRITE)
err = !access_ok(VERIFY_READ, (void *)arg, _IOC_SIZE(cmd));
if (err)
return -EFAULT;
/* 根据命令,执行相应的操作 */
switch(cmd) {
/* 打印当前设备信息 */
case MEMDEV_IOCPRINT:
printk("<--- CMD MEMDEV_IOCPRINT Done--->\n\n");
break;
/* 获取参数 */
case MEMDEV_IOCGETDATA:
ioarg = 1101;
ret = __put_user(ioarg, (int *)arg);
break;
/* 设置参数 */
case MEMDEV_IOCSETDATA:
ret = __get_user(ioarg, (int *)arg);
printk("<--- In Kernel MEMDEV_IOCSETDATA ioarg = %d --->\n\n",ioarg);
break;
default:
return -EINVAL;
}
return ret;
}
/*文件操作结构体*/
static const struct file_operations mem_fops =
{
.owner = THIS_MODULE,
.open = mem_open,
.release = mem_release,
.ioctl = memdev_ioctl,
};
/*设备驱动模块加载函数*/
static int memdev_init(void)
{
int result;
int i;
dev_t devno = MKDEV(mem_major, 0);
/* 静态申请设备号*/
if (mem_major)
result = register_chrdev_region(devno, 2, "memdev");
else /* 动态分配设备号 */
{
result = alloc_chrdev_region(&devno, 0, 2, "memdev");
mem_major = MAJOR(devno);
}
if (result < 0)
return result;
/*初始化cdev结构*/
cdev_init(&cdev, &mem_fops);
cdev.owner = THIS_MODULE;
cdev.ops = &mem_fops;
/* 注册字符设备 */
cdev_add(&cdev, MKDEV(mem_major, 0), MEMDEV_NR_DEVS);
/* 为设备描述结构分配内存*/
mem_devp = kmalloc(MEMDEV_NR_DEVS * sizeof(struct mem_dev), GFP_KERNEL);
if (!mem_devp) /*申请失败*/
{
result = - ENOMEM;
goto fail_malloc;
}
memset(mem_devp, 0, sizeof(struct mem_dev));
/*为设备分配内存*/
for (i=0; i < MEMDEV_NR_DEVS; i++)
{
mem_devp[i].size = MEMDEV_SIZE;
mem_devp[i].data = kmalloc(MEMDEV_SIZE, GFP_KERNEL);
memset(mem_devp[i].data, 0, MEMDEV_SIZE);
}
return 0;
fail_malloc:
unregister_chrdev_region(devno, 1);
return result;
}
/*模块卸载函数*/
static void memdev_exit(void)
{
cdev_del(&cdev); /*注销设备*/
kfree(mem_devp); /*释放设备结构体内存*/
unregister_chrdev_region(MKDEV(mem_major, 0), 2); /*释放设备号*/
}
MODULE_AUTHOR("David Xie");
MODULE_LICENSE("GPL");
module_init(memdev_init);
module_exit(memdev_exit);