Android内核模块编译执行

Author: GeneBlue

0X01 前言

内核驱动是漏洞的高发区，了解Android驱动代码的编写是分析、利用驱动漏洞的基础。本文以一个“hello”驱动为例，简单介绍内核驱动编写、编译的基本过程，包括内核模块的内建编译和动态加载方式的编译。

0X02 编写

在 ./goldsifh/drivers 文件夹下新建hello目录，在hello目录中新建hello.c文件：

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/fs.h>
#include <linux/miscdevice.h>  

MODULE_LICENSE("GPL");
MODULE_AUTHOR("GeneBlue");
MODULE_DESCRIPTION("Hello Kernel Device");
MODULE_VERSION("1.0");  

#define CMD_COMMAND 0x1336  

long hello_ioctl(struct file *filp,  //ioctl函数
    unsigned int cmd,
    unsigned long arg){
    switch(cmd){
    case CMD_COMMAND:
        printk("Hello Module hello_ioctl() exced");
        break;
    default:
        printk("Hello Module unknown ioctl cmd");
    }
    return 0;
}  

struct file_operations hello_fops = {  //设备的操作函数指针表
    unlocked_ioctl: hello_ioctl
};  

static struct miscdevice hello_device = {  //注册为misc设备的基本属性
    minor: MISC_DYNAMIC_MINOR,
    name: "hello",
    fops: &hello_fops,
    mode: 777
};  

static int __init hello_begin(void){
    int ret;
    ret = misc_register(&hello_device);  //注册为misc设备
    if(ret)
        printk("Failed to register misc device");
    else
        printk("Hello Module successfully loaded");  

    return ret;
}  

static void __exit hello_exit(void){
    int ret = misc_deregister(&hello_device);  //设备卸载
    if(ret)
        printk("Hello module exit");
}  

module_init(hello_begin);  //模块初始化函数
module_exit(hello_exit);  //模块卸载函数

写驱动模块时都要包含
module.h 头文件，该头文件定义了一些编写模块时常用宏或函数；  kernel.h
提供常用的内核函数，如printk()； fs.h  提供文件表和文件结构，如file_operations；
miscdevice.h 提供注册为misc设备的常用函数。

0X03 编译

在编译之前，要确保下载下来的内核代码已经可以顺利地编译运行，具体可以参考这里。

在hello目录中，要增加Makefile配置文件用于编译。在Makefile中添加：

obj-y +=  hello.o

表示内建编译，即直接编译到内核文件zImage中。然后在
goldfish/drivers/Makefile 中包含新建的驱动设备

obj-y += hello/

这样，再次编译内核后，驱动设备即可包含在内核中。

有的时候，我们需要在手机中编写可动态加载的驱动模块，可动态加载模块非常便于调试，在
kmsg中可直接看到调试信息，这个时候需要重新编译手机内核，开启内核的动态加载属性。在编译的内核的时候，使用

make menuconfig

命令，并在menuconfig中做如下配置：

如果不开启该选项就直接 insmod 加载hello.ko，一般情况下都会报如下错误：

insmod: init_module 'hello.ko' failed (Function not implemented)

[内建编译的情况]--编译完内核之后，还需要将内核拷贝到aosp的源码中，替换掉默认的内核文件，在我的Android源码中默认的内核文件存放在如下路径中：

/android-4.4.4_r1/device/lge/hammerhead-kernel/zImage-dtb

编译Android源码生成新的boot.img文件，然后只要将boot.img刷入到手机即可。

完成内核的准备工作之后，下面就要编译动态加载模块hello.ko，依然是上述的  hello.c  文件，在任意位置建一个目录，拷贝hello.c并编写  Makefile
 如下：

obj-m := hello.o  

KERNELDIR := /home/geneblue/Android/Source/kernel/msm/
PWD :=$(shell pwd)
ARCH=arm
CROSS_COMPILE=/home/geneblue/Android/Source/tsinghua_aosp/android-4.4.4_r1/prebuilts/gcc/linux-x86/arm/arm-linux-androideabi-4.6/bin/arm-linux-androideabi-
CC=$(CROSS_COMPILE)gcc
LD=$(CROSS_COMPILE)ld
CFLAGS_MODULE=-fno-pic  

modules:
    make -C $(KERNELDIR) ARCH=$(ARCH) CROSS_COMPILE=$(CROSS_COMPILE) M=$(PWD) modules
clean:
    rm *.o *.ko *.mod.c *.order *.symvers

注意，Makefile中要加上  CFLAGS_MODULE=-fno-pic  选项，不然insmod加载编译好的  hello.ko relocation节
 会错误：

insmod: init_module 'hello.ko' failed (Exec format error)
kmsg:
<3>[ 1646.589131] hello: unknown relocation: 27

最后，使用  make
 命令即可编译生成正确的   hello.ko   文件。

0X04 运行

使用模拟器来加载新编好的内核，并在
adb shell  中，root权限下查看新编的驱动：

# root权限下
# ll /dev | grep hello

# dmesg | grep Hello

这样，一个最简单的设备驱动已经可以正确运行了。

将 hello.ko 文件
push  到手机中，root权限下用
insmod 来加载即可。

# 加载内核模块
# insmod hello.ko

# 查看加载的内核模块
# lsmod

0X05 参考

• 在Ubuntu上为Android系统编写Linux内核驱动程序
• Hello
  world kernel module for android & unknown relocation: 27 when insmod

转载于：https://geneblue.github.io/2016/08/16/Android%E5%86%85%E6%A0%B8%E6%A8%A1%E5%9D%97%E7%BC%96%E8%AF%91%E6%89%A7%E8%A1%8C/