USB协议介绍四 设备端
设备端
对于想要开发设备端 USB 功能的开发者而言,使用最广泛的要数树莓派 Zero了,毕竟这是树莓派系列中唯一支持 USB OTG 的型号。网上已经有很多资料教我们如何将树莓派 Zero 配置成 USB 键盘、打印机、网卡等 USB 设备的教程。当然使用其他硬件也是可以的,配置自定义的 USB 设备端可以让我们做很多有趣的事情,比如网卡中间人或者 Bad USB 这种近源渗透方式。后文中我们会使用 Zero 进行简单测试。
一些相关的配置资料可以参考:
https://github.com/RoganDawes/P4wnP1
Using RPi Zero as a Keyboard
内核驱动
在介绍应用之间,我们先看看内核的实现。还是以 Linux 内核为例,具体来说,我们想了解如何通过添加内核模块的方式实现一个新的自定义 USB 设备。俗话说得好,添加 Linux 驱动的最好方式是参看现有的驱动,毕竟当前内核中大部分都是驱动代码。
因为 Linux 内核既能运行在主机端,也能运行在设备端,因此设备端的 USB 驱动有个不同的名字: gadget driver。对于不同设备,也提供不同的内核接口,即 Host-Side API 和 Gadget API。既然我们是想实现自己的设备,就需要从 gadget 驱动入手。
g_zero.ko 就是这么一个驱动,代码在 drivers/usb/gadget/legacy/zero.c。该驱动实现了一个简单的 USB 设备,包含 2 个配置描述,各包含 1 个功能,分别是 sink 和 loopback,前者接收数据并返回 0,后者接收数据并原样返回:
drivers/usb/gadget/function/f_sourcesink.c
drivers/usb/gadget/function/f_loopback.c
代码量不多,感兴趣的自行 RTFSC。另外值得一提的是,对于运行于 USB device 端的系统而言,内核中至少有三个层级处理 USB 协议,可能用户层还有更多。gadget API 属于三层的中间层。至底向上,三层分别是:
USB Controller Driver: 这是软件的最底层,通过寄存器、FIFO、DMA、IRQ 等其他手段直接和硬件打交道,通常称为 UDC (USB Device Controller) Driver。
Gadget Driver: 作为承上启下的部分,通过调用抽象的 UDC 驱动接口,底层实现了硬件无关的 USB function。主要用于实现前面提到的 USB 功能,包括处理 setup packet (ep0)、返回各类描述符、处理各类修改配置情况、处理各类 USB 事件以及 IN/OUT 的传输等等。
Upper Level: 通过 Gadget Driver 抽象的接口,实现基于 USB 协议的上层应用,比如 USB 网卡、声卡、文件存储、HID 设备等。
关于 Linux USB 子系统的详细设计结构,可以参考源码中的文档: Linux USB API,以及其他一些资料,如下所示:
https://bootlin.com/doc/legacy/linux-usb/linux-usb.pdf
https://static.lwn.net/images/pdf/LDD3/ch13.pdf
https://elinux.org/images/5/5e/Opasiak.pdf
GadgetFS/ConfigFS
参考现有的 Linux 驱动,依葫芦画瓢可以很容易实现一个自定义的 USB Gadget。但是这样存在一些问题,如果我想实现一个八声道的麦克风,还要重新写一遍驱动、编译、安装,明明内核中麦克风的功能已经有了,复制粘贴就显得很不优雅。
那么,有没有什么办法可以方便组合和复用现有的 gadget function 呢?在 Linux 3.11 中,引入了 USB Gadget ConfigFS,提供了用户态的 API 来方便创建新的 USB 设备,并可以组合复用现有内核中的驱动。
前文提到的基于树莓派 Zero 实现的各类 USB 设备,大部分都是基于 Gadget ConfigFS 接口实现的。基于 configfs 创建 USB gadget 的步骤一般如下:
CONFIGFS_HOME=/sys/kernel/config/usb_gadget
#1. 新建一个 gadget,并写入实际的设备描述
mkdir $CONFIGFS_HOME/mydev # 创建设备目录后,该目录下自动创建并初始化了一个设备模板
cd $CONFIGFS_HOME/mydev
echo 0x0100 > bcdDevice # Version 1.0.0
echo 0x0200 > bcdUSB # USB 2.0
echo 0x00 > bDeviceClass
echo 0x00 > bDeviceProtocol
echo 0x40 > bMaxPacketSize0
echo 0x0104 > idProduct # Multifunction Composite Gadget
echo 0x1d6b > idVendor # Linux Foundation
#2. 新建一个配置,并写入实际的配置描述
mkdir configs/c.1 # 创建一个配置实例: .
cd configs/c.1
echo 0x01 > MaxPower
echo 0x80 > bmAttributes
#3. 新建一个接口(function),或者将已有接口链接到当前配置下
cd $CONFIGFS_HOME/mydev
mkdir functions/hid.usb0 # 创建一个 function 实例: .
echo 1 > functions/hid.usb0/protocol
echo 8 > functions/hid.usb0/report_length # 8-byte reports
echo 1 > functions/hid.usb0/subclass
ln -s functions/hid.usb0 configs/c.1
#4. 将当前 USB 设备绑定到 UDC 驱动中
echo ls /sys/class/udc > $CONFIGFS_HOME/mydev/UDC
这样就实现了一个最简单的 USB gadget,当然要完整实现的话还可以添加字符串描述,以及增加各个端点的功能。使用 configfs 实现一个 USB 键盘的示例可以参考网上其他文章,比如 Using RPi Zero as a Keyboard,或者 Github 上的开源项目,比如 P4wnP1。
有些人觉得 ConfigFS 配置起来很繁琐,所以开发了一些函数库(如 libusbgx) 来通过调用创建 gadget;有人觉得通过函数操作也还是繁琐,就创建了一些工具(如 gt) 来通过处理一个类似于 libconfig 的配置文件直接创建 gadget,不过笔者用得不多。
FunctionFS
FunctionFS 最初是对 GadgetFS 的重写,用于支持实现用户态的 gadget function,并组合到现有设备中。这里说的 FunctionFS 实际上是新版基于 ConfigFS 的 GadgetFS 拓展。在上一节中说到创建设备 gadget 的第四步就是给对应的 configuration 添加 function,格式为 function—type.instance-name,type 对应一个已有的内核驱动,比如上节中是 hid。
如果要使用当前内核中没有的 function 实现自定义的功能,那么内核还提供了一个驱动可以方便在用户态创建接口,该驱动就是 ffs 即 FunctionFS。使用 ffs 的方式也很简单,将上面第三步替换为:
cd $CONFIGFS_HOME/mydev
mkdir functions/ffs.usb0
ln -s functions/ffs.usb0 configs/c.1
创建一个类型为 ffs,名称为 usb0 的function,然后挂载到任意目录:
cd /mnt
mount usb0 ffs -t functionfs
挂载完后,/mnt/ffs/ 目录下就已经有了一个 ep0 文件,如名字所言正是 USB 设备的零端点,用于收发 Controller Transfer 数据以及各类事件。在该目录中可以创建其他的端点,并使用类似文件读写的操作去实现端点的读写,内核源码中提供了一个用户态应用示例,代码在 tools/usb/ffs-test.c。如果嫌 C 代码写起来复杂,还可以使用 Python 编写 ffs 实现,比如 python-functionfs。
如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我:
