从数据传输的角度来分析Binder的通信过程

最新推荐文章于 2023-06-14 11:49:28 发布
最新推荐文章于 2023-06-14 11:49:28 发布
阅读量237 收藏
点赞数
分类专栏: 系统原理

本篇文章来自一只大茶蛋的投稿,从binder数据传输的角度来分析binder通信的过程,相信会对大家有所帮助!同时也感谢作者贡献的精彩文章。

 

一只大茶蛋的博客地址:

https://egguncle.github.io/

 

/   前言  /

 

前一阵弄了一个和binder有关的小工具,大概就是通过对ioctl进行hook,读取到binder的数据信息。

https://github.com/EggUncle/Hermes

 

binder的具体原理等细节这里就不讨论了,我们此处仅仅从数据的角度来分析一下获取手机imei时,binder的请求和响应过程。

 

操作环境: Nexus5x aosp 7.1.2

 

/   获取数据   /

 

首先使用注入工具对com.android.phone 进行hook,并且使用工具获取其服务的相关信息。

 

注入工具可以使用这个 (仅支持android7以及7以下的系统): 

https://github.com/EggUncle/PtraceInject 

 

获取服务信息的工具可以使用这个(获取到的结果是一个json文件): 

https://github.com/EggUncle/DumpAndroidServicesInfo

 

注入工具之后,打开测试用的获取imei的app,点击获取imei的按钮,打开logcat,搜索关键字获取LIB_BINDER_HOOK,到的数据如下(时间的信息已经删除,时间的log信息和此处的分析没有关系)

 

 

6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: read BR_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 11804, code = 124, dump name : @)com.android.internal.telephony.ITelephonycom.test.androidbinderhook , pname size is 69, data size is 152 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 04004001 29000000 63006f00 6d002e00  ..@.)...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e007400 65006c00 65007000 68006f00  ..t.e.l.e.p.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6e007900 2e004900 54006500 6c006500  n.y...I.T.e.l.e.
6094-6105/? D/LIB_BINDER_HOOK: 70006800 6f006e00 79000000 1a000000  p.h.o.n.y.......
6094-6105/? D/LIB_BINDER_HOOK: 63006f00 6d002e00 74006500 73007400  c.o.m...t.e.s.t.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 6e006400 72006f00 69006400  ..a.n.d.r.o.i.d.
6094-6105/? D/LIB_BINDER_HOOK: 62006900 6e006400 65007200 68006f00  b.i.n.d.e.r.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6f006b00 00000000                    o.k.....
6094-6105/? E/LIB_BINDER_HOOK: write BC_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 53, dump name : @android.app.IActivityManager.android.permission.READ_PRIVILEGED_PHONE_STATE.n' , pname size is 79, data size is 176 , target is 777fcde804  777fcde804
6094-6105/? D/LIB_BINDER_HOOK: 04004001 1c000000 61006e00 64007200  ..@.....a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 61007000 70002e00  o.i.d...a.p.p...
6094-6105/? D/LIB_BINDER_HOOK: 49004100 63007400 69007600 69007400  I.A.c.t.i.v.i.t.
6094-6105/? D/LIB_BINDER_HOOK: 79004d00 61006e00 61006700 65007200  y.M.a.n.a.g.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 00000000 2e000000 61006e00 64007200  ........a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 70006500 72006d00  o.i.d...p.e.r.m.
6094-6105/? D/LIB_BINDER_HOOK: 69007300 73006900 6f006e00 2e005200  i.s.s.i.o.n...R.
6094-6105/? D/LIB_BINDER_HOOK: 45004100 44005f00 50005200 49005600  E.A.D._.P.R.I.V.
6094-6105/? D/LIB_BINDER_HOOK: 49004c00 45004700 45004400 5f005000  I.L.E.G.E.D._.P.
6094-6105/? D/LIB_BINDER_HOOK: 48004f00 4e004500 5f005300 54004100  H.O.N.E._.S.T.A.
6094-6105/? D/LIB_BINDER_HOOK: 54004500 00000000 1c2e0000 6e270000  T.E.........n'..
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: read BR_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name :  , pname size is 0, data size is 8 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 00000000 ffffffff                    ........
6094-6105/? E/LIB_BINDER_HOOK: write BC_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 53, dump name : @android.app.IActivityManager#android.permission.READ_PHONE_STATE.n' , pname size is 68, data size is 152 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 04004001 1c000000 61006e00 64007200  ..@.....a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 61007000 70002e00  o.i.d...a.p.p...
6094-6105/? D/LIB_BINDER_HOOK: 49004100 63007400 69007600 69007400  I.A.c.t.i.v.i.t.
6094-6105/? D/LIB_BINDER_HOOK: 79004d00 61006e00 61006700 65007200  y.M.a.n.a.g.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 00000000 23000000 61006e00 64007200  ....#...a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 70006500 72006d00  o.i.d...p.e.r.m.
6094-6105/? D/LIB_BINDER_HOOK: 69007300 73006900 6f006e00 2e005200  i.s.s.i.o.n...R.
6094-6105/? D/LIB_BINDER_HOOK: 45004100 44005f00 50004800 4f004e00  E.A.D._.P.H.O.N.
6094-6105/? D/LIB_BINDER_HOOK: 45005f00 53005400 41005400 45000000  E._.S.T.A.T.E...
6094-6105/? D/LIB_BINDER_HOOK: 1c2e0000 6e270000                    ....n'..
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: read BR_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name :  , pname size is 0, data size is 8 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 00000000 00000000                    ........
6094-6105/? E/LIB_BINDER_HOOK: write BC_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 2, dump name : @'com.android.internal.app.IAppOpsService3n'com.test.androidbinderhook , pname size is 70, data size is 156 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 04004001 27000000 63006f00 6d002e00  ..@.'...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 70007000 2e004900 41007000  ..a.p.p...I.A.p.
6094-6105/? D/LIB_BINDER_HOOK: 70004f00 70007300 53006500 72007600  p.O.p.s.S.e.r.v.
6094-6105/? D/LIB_BINDER_HOOK: 69006300 65000000 33000000 6e270000  i.c.e...3...n'..
6094-6105/? D/LIB_BINDER_HOOK: 1a000000 63006f00 6d002e00 74006500  ....c.o.m...t.e.
6094-6105/? D/LIB_BINDER_HOOK: 73007400 2e006100 6e006400 72006f00  s.t...a.n.d.r.o.
6094-6105/? D/LIB_BINDER_HOOK: 69006400 62006900 6e006400 65007200  i.d.b.i.n.d.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 68006f00 6f006b00 00000000           h.o.o.k.....
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: read BR_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name :  , pname size is 0, data size is 8 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 00000000 00000000                    ........
6094-6105/? E/LIB_BINDER_HOOK: write BC_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name : 354360070189667 , pname size is 15, data size is 40 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 00000000 0f000000 33003500 34003300  ........3.5.4.3.
6094-6105/? D/LIB_BINDER_HOOK: 36003000 30003700 30003100 38003900  6.0.0.7.0.1.8.9.
6094-6105/? D/LIB_BINDER_HOOK: 36003600 37000000                    6.6.7...
11804-11804/com.test.androidbinderhook I/LIB_BINDER_HOOK: onClick: 354360070189667
6094-6105/? E/LIB_BINDER_HOOK: ---------------------------------
6094-6105/? E/LIB_BINDER_HOOK: write BC_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name : 354360070189667 , pname size is 15, data size is 40 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 00000000 0f000000 33003500 34003300  ........3.5.4.3.
6094-6105/? D/LIB_BINDER_HOOK: 36003000 30003700 30003100 38003900  6.0.0.7.0.1.8.9.
6094-6105/? D/LIB_BINDER_HOOK: 36003600 37000000                    6.6.7...

 

 

/   binder传输的数据结构   /

 

在对binder的数据进行分析之前,我们还是很有必要看一下binder本身在传输过程中的数据结构信息的。在binder传输数据的时候,它会使用到一个叫binder_write_read的结构体,它的信息如下:

 

 

struct binder_write_read {
    binder_size_t       write_size; /* bytes to write */
    binder_size_t       write_consumed; /* bytes consumed by driver */
    binder_uintptr_t    write_buffer;
    binder_size_t       read_size;  /* bytes to read */
    binder_size_t       read_consumed;  /* bytes consumed by driver */
    binder_uintptr_t    read_buffer;
};

 

其中存储了上文中数据的成员是write_consumed和read_consumed,他们分别对应读和写的时候的一些指令时用到的数据。

 

binder数据传输的过程如下图:

 

 

640?wx_fmt=png

 

其中的write_consumed部分的数据包括BC_TRANSACTION和BC_REPLY,read_consumed部分的数据包括BR_TRANSACTION和BR_REPLY。

 

接下来再看一下write_consumed中存储的数据的数据结构。

 

 

struct binder_transaction_data {
    /* The first two are only used for bcTRANSACTION and brTRANSACTION,
     * identifying the target and contents of the transaction.
     */
    union {
        /* target descriptor of command transaction */
        __u32   handle;
        /* target descriptor of return transaction */
        binder_uintptr_t ptr;
    } target;
    binder_uintptr_t    cookie; /* target object cookie */
    __u32       code;       /* transaction command */
    /* General information about the transaction. */
    __u32           flags;
    pid_t       sender_pid;
    uid_t       sender_euid;
    binder_size_t   data_size;  /* number of bytes of data */
    binder_size_t   data_offsets;   /* number of bytes of offsets */
    /* If this transaction is inline, the data immediately
     * follows here; otherwise, it ends with a pointer to
     * the data buffer.
     */
    union {
        struct {
            /* transaction data */
            binder_uintptr_t    buffer;
            /* offsets from buffer to flat_binder_object structs */
            binder_uintptr_t    offsets;
        } ptr;
        __u8    buf[8];
    } data;
};

 

其中的code,为对应的binder服务提供的方法的编号(这里可以通过源码或者上文中的工具获取到的服务信息来通过服务名称和编号来找到对应的方法),target相当于一个句柄,用来标识相关的发起请求的对象,而data即为实际传输的数据。接下来就可以开始实际的分析数据了。

 

/   数据分析   /

 

这里从第一条数据看起

 

 

6094-6105/? E/LIB_BINDER_HOOK: read BR_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 11804, code = 124, dump name : @)com.android.internal.telephony.ITelephonycom.test.androidbinderhook , pname size is 69, data size is 152 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 04004001 29000000 63006f00 6d002e00  ..@.)...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e007400 65006c00 65007000 68006f00  ..t.e.l.e.p.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6e007900 2e004900 54006500 6c006500  n.y...I.T.e.l.e.
6094-6105/? D/LIB_BINDER_HOOK: 70006800 6f006e00 79000000 1a000000  p.h.o.n.y.......
6094-6105/? D/LIB_BINDER_HOOK: 63006f00 6d002e00 74006500 73007400  c.o.m...t.e.s.t.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 6e006400 72006f00 69006400  ..a.n.d.r.o.i.d.
6094-6105/? D/LIB_BINDER_HOOK: 62006900 6e006400 65007200 68006f00  b.i.n.d.e.r.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6f006b00 00000000                    o.k.....
6094-6105/? E/LIB_BINDER_HOOK: write BC_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 53, dump name : @android.app.IActivityManager.android.permission.READ_PRIVILEGED_PHONE_STATE.n' , pname size is 79, data size is 176 , target is 777fcde804  777fcde804
6094-6105/? D/LIB_BINDER_HOOK: 04004001 1c000000 61006e00 64007200  ..@.....a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 61007000 70002e00  o.i.d...a.p.p...
6094-6105/? D/LIB_BINDER_HOOK: 49004100 63007400 69007600 69007400  I.A.c.t.i.v.i.t.
6094-6105/? D/LIB_BINDER_HOOK: 79004d00 61006e00 61006700 65007200  y.M.a.n.a.g.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 00000000 2e000000 61006e00 64007200  ........a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 70006500 72006d00  o.i.d...p.e.r.m.
6094-6105/? D/LIB_BINDER_HOOK: 69007300 73006900 6f006e00 2e005200  i.s.s.i.o.n...R.
6094-6105/? D/LIB_BINDER_HOOK: 45004100 44005f00 50005200 49005600  E.A.D._.P.R.I.V.
6094-6105/? D/LIB_BINDER_HOOK: 49004c00 45004700 45004400 5f005000  I.L.E.G.E.D._.P.
6094-6105/? D/LIB_BINDER_HOOK: 48004f00 4e004500 5f005300 54004100  H.O.N.E._.S.T.A.
6094-6105/? D/LIB_BINDER_HOOK: 54004500 00000000 1c2e0000 6e270000  T.E.........n'..

 

首先这里有两条命令

第一条是BR_TRANSACTION,这里com.android.phone作为服务端,接受了br的请求,pid为 11804,这里是获取imei的测试app的pid,然后可以通过报文中的字符串信息看到与它通信的服务是ITelephony,然后在上文中获取到的服务信息中搜索相应的code,可以看到对应的方法的信息,即getDeviceId,获取imei的方法,同时它需要传入一个报名作为参数,而报文中也有包名相关的信息(com.test.androidbinderhook)。

 

 

{
  "code": 124,
  "methodName": "getDeviceId",
  "paramTypeList": [
    "java.lang.String"
  ]
},

 

接下来详细分析其中的数据:

 

 

6094-6105/? D/LIB_BINDER_HOOK: 04004001 29000000 63006f00 6d002e00  ..@.)...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e007400 65006c00 65007000 68006f00  ..t.e.l.e.p.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6e007900 2e004900 54006500 6c006500  n.y...I.T.e.l.e.
6094-6105/? D/LIB_BINDER_HOOK: 70006800 6f006e00 79000000 1a000000  p.h.o.n.y.......
6094-6105/? D/LIB_BINDER_HOOK: 63006f00 6d002e00 74006500 73007400  c.o.m...t.e.s.t.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 6e006400 72006f00 69006400  ..a.n.d.r.o.i.d.
6094-6105/? D/LIB_BINDER_HOOK: 62006900 6e006400 65007200 68006f00  b.i.n.d.e.r.h.o.
6094-6105/? D/LIB_BINDER_HOOK: 6f006b00 00000000                    o.k.....
04004001 这部分和后面的字符串组成请求binder的对象的的标识,一般在binder的客户端部分用data.writeInterfaceToken(DESCRIPTOR)设置
29000000 对应着10进制的41,代表着后续字符串的长度com.android.internal.telephony.ITelephony
1a000000 对应着10进制的26,代表着后续字符串的长度com.test.androidbinderhook
00000000 这个我也没整明白是个啥,可能是对齐用的数据

 

然后看看源码,从代码角度看看这个地方执行的过程,首先找到TelephonyManager 的getDeviceId的方法。

 

 

    public String getDeviceId() {
        try {
            ITelephony telephony = getITelephony();
            if (telephony == null)
               return null;
            return telephony.getDeviceId(mContext.getOpPackageName());
       } catch (RemoteException ex) {
            return null;
        } catch (NullPointerException ex) {
            return null;
        }
    }

 

这里可以看到它调用了ITelephony的getDeviceId并传入包名。

 

接下来是第二个命令BC_TRANSACTION,我这里的理解是,phone中的服务,作为客户端,与其他binder进行交互,所以这里使用了BC_TRANSACTION的指令.从解析出来的字符串可知这里请求的相关服务为android.app.IActivityManager,code 53 对应的方法是如下: (这里补充以下,我提供的获取服务信息的工具,由于权限问题导致部分服务的信息获取不到,此处的的方法信息,是通过源码找到的)

public int checkPermission(String permission, int pid, int uid)

 

接下来看报文:

 

 

6094-6105/? D/LIB_BINDER_HOOK: 04004001 1c000000 61006e00 64007200  ..@.....a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 61007000 70002e00  o.i.d...a.p.p...
6094-6105/? D/LIB_BINDER_HOOK: 49004100 63007400 69007600 69007400  I.A.c.t.i.v.i.t.
6094-6105/? D/LIB_BINDER_HOOK: 79004d00 61006e00 61006700 65007200  y.M.a.n.a.g.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 00000000 2e000000 61006e00 64007200  ........a.n.d.r.
6094-6105/? D/LIB_BINDER_HOOK: 6f006900 64002e00 70006500 72006d00  o.i.d...p.e.r.m.
6094-6105/? D/LIB_BINDER_HOOK: 69007300 73006900 6f006e00 2e005200  i.s.s.i.o.n...R.
6094-6105/? D/LIB_BINDER_HOOK: 45004100 44005f00 50005200 49005600  E.A.D._.P.R.I.V.
6094-6105/? D/LIB_BINDER_HOOK: 49004c00 45004700 45004400 5f005000  I.L.E.G.E.D._.P.
6094-6105/? D/LIB_BINDER_HOOK: 48004f00 4e004500 5f005300 54004100  H.O.N.E._.S.T.A.
6094-6105/? D/LIB_BINDER_HOOK: 54004500 00000000 1c2e0000 6e270000  T.E.........n'..
前面都一样,和上文中相同的方式存储字符串数据
1c2e0000 这里是进程id,数据以小端存储,即2e1c,对应的10进制是11804,对应测试app的进程号
6e270000 这里是对应的uid的16进制形式

 

第二段的数据和这里比较相似,不再分析,然后是第三段数据:

 

 

6094-6105/? E/LIB_BINDER_HOOK: read BR_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name :  , pname size is 0, data size is 8 , target is 777fcde708  777fcde708
6094-6105/? D/LIB_BINDER_HOOK: 00000000 00000000                    ........
6094-6105/? E/LIB_BINDER_HOOK: write BC_TRANSACTION
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 2, dump name : @'com.android.internal.app.IAppOpsService3n'com.test.androidbinderhook , pname size is 70, data size is 156 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 04004001 27000000 63006f00 6d002e00  ..@.'...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 70007000 2e004900 41007000  ..a.p.p...I.A.p.
6094-6105/? D/LIB_BINDER_HOOK: 70004f00 70007300 53006500 72007600  p.O.p.s.S.e.r.v.
6094-6105/? D/LIB_BINDER_HOOK: 69006300 65000000 33000000 6e270000  i.c.e...3...n'..
6094-6105/? D/LIB_BINDER_HOOK: 1a000000 63006f00 6d002e00 74006500  ....c.o.m...t.e.
6094-6105/? D/LIB_BINDER_HOOK: 73007400 2e006100 6e006400 72006f00  s.t...a.n.d.r.o.
6094-6105/? D/LIB_BINDER_HOOK: 69006400 62006900 6e006400 65007200  i.d.b.i.n.d.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 68006f00 6f006b00 00000000           h.o.o.k.....

 

首先这里的指令为BC_TRANSACTION,phone进程作为客户端,向IAppOpsService服务发送请求数据,code为2,对应的方法信息如下:

 

 

{
  "code": 2,
  "methodName": "noteOperation",
  "paramTypeList": [
    "int",
    "int",
    "java.lang.String"
  ]
},
它的声明信息为
public int noteOperation(int code, int uid, String packageName)

 

查阅了相关资料,发现它是给用户设置权限的方法,接下来来看报文信息:

 

 

6094-6105/? D/LIB_BINDER_HOOK: 04004001 27000000 63006f00 6d002e00  ..@.'...c.o.m...
6094-6105/? D/LIB_BINDER_HOOK: 61006e00 64007200 6f006900 64002e00  a.n.d.r.o.i.d...
6094-6105/? D/LIB_BINDER_HOOK: 69006e00 74006500 72006e00 61006c00  i.n.t.e.r.n.a.l.
6094-6105/? D/LIB_BINDER_HOOK: 2e006100 70007000 2e004900 41007000  ..a.p.p...I.A.p.
6094-6105/? D/LIB_BINDER_HOOK: 70004f00 70007300 53006500 72007600  p.O.p.s.S.e.r.v.
6094-6105/? D/LIB_BINDER_HOOK: 69006300 65000000 33000000 6e270000  i.c.e...3...n'..
6094-6105/? D/LIB_BINDER_HOOK: 1a000000 63006f00 6d002e00 74006500  ....c.o.m...t.e.
6094-6105/? D/LIB_BINDER_HOOK: 73007400 2e006100 6e006400 72006f00  s.t...a.n.d.r.o.
6094-6105/? D/LIB_BINDER_HOOK: 69006400 62006900 6e006400 65007200  i.d.b.i.n.d.e.r.
6094-6105/? D/LIB_BINDER_HOOK: 68006f00 6f006b00 00000000           h.o.o.k.....
前面相同的部分这里不再解析了
33000000 10进制为51,这里是对应的操作码,它的对应信息可以从这里查看http://androidxref.com/7.1.2_r36/xref/frameworks/base/core/java/android/app/AppOpsManager.java   可以看到51为OP_READ_PHONE_STATE,即为读取手机状态的权限
6e270000 这里上文中也提到了,是测试app的uid

 

接着我们继续下一段

 

 

6094-6105/? E/LIB_BINDER_HOOK: write BC_REPLY
6094-6105/? E/LIB_BINDER_HOOK: PID = 0, code = 0, dump name : 354360070189667 , pname size is 15, data size is 40 , target is 777fcde810  777fcde810
6094-6105/? D/LIB_BINDER_HOOK: 00000000 0f000000 33003500 34003300  ........3.5.4.3.
6094-6105/? D/LIB_BINDER_HOOK: 36003000 30003700 30003100 38003900  6.0.0.7.0.1.8.9.
6094-6105/? D/LIB_BINDER_HOOK: 36003600 37000000                    6.6.7...

 

这里的消息就比较简单了,就是将imei的数据写入binder驱动,至此整个binder请求数据的过程就结束了,补充一下,为什么这里获取到的结果,最前面是00000000呢,这里可以看一下parcel.java的源码:

http://androidxref.com/7.1.2_r36/xref/frameworks/base/core/java/android/os/Parcel.java

 

其中提到了string 类型的表示,即为0,而0f即为后续字符串的长度,15。

 

 

/   总结   /

 

从binder数据角度来看获取imei的整个过程,大致上分为以下几步:

 

  • 发出请求

  • 检查权限

  • 授予权限

  • 返回数据

 

参考1

http://gityuan.com/2015/11/01/binder-driver/

 

参考2

https://paul.pub/android-binder-driver/

lyglostangel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Binder 通信一次拷贝的原理
hello_1995的博客
12-13 1856
对于 Android 开发者来说 Binder 应该不会陌生了,Binder 是 Android 提供的 IPC 通信机制,它是通过内存映射实现的,而这也是 Binder 相对于其他传统进程间通信方式的优点之一,即我们说的 Binder 只需要做“一次拷贝”,而其他传统方式需要“两次拷贝”!那么,这所谓的“一次拷贝”的实现原理到底是什么?
Android系统中的Binder通信机制分析(5)- 进程间数据传递载体 Parcel
Android系统工程师--小馬佩德罗
05-29 783
可以想象下,同一进程间的对象传递都是通过引用来做的,因而本质上就是传递了一个内存地址。这种方式在跨进程的情况下就无能为力了。由于采用了虚拟内存机制,两个进程都有自己独立的内存地址空间,所以跨进程传递的地址值是无效的。进程间的数据传递是 Binder 机制中的重要一环,Android系统中担负这一重任的就是 Parcel。Parcel 是一种数据的载体,用于承载希望通过 IBinder 发送的相关信息(包括数据和对象引用)。
深入理解Binder机制
故不积跬步无以至千里
06-30 758
1.Binder是一种进程间通信机制; 2.Binder是一个虚拟物理设备驱动; 3.Binder是一个能发起通信的Java类;在了解传输流程之前,先简单了解下Android中的内存划分以及内存映射【mmap】概念; ####内存划分 内存被操作系统划分成两块:用户空间和内核空间,用户空间是用户程序代码运行的地方,内核空间是内核代码运行的地方。为了安全,它们是隔离的,即使用户的程序崩溃了,内核也不受影响。 Linux通过将一个虚拟内存区域与一个磁盘上的对象关联起来,以初始化这个虚拟内存区域的内容,这个过程
Android Binder原理(一)学习Binder前必须要了解的知识点
gqg_guan的博客
01-06 539
Android Binder原理(一)
模拟binder通信的demo
04-01
模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo...
android IPC之binder通信机制
01-05
Binder通信机制说来简单,但是在使用的过程的遇到了一些问题,最后终于解决了,在这总结一下,一并分享给大家: 1、要使用Binder通信,首先要定义接口,然后实现服务端BnInterface***和客户端BpInterface***,说到底...
Binder 通信数据结构1
08-04
通常,Binder驱动都是将个事务保存在个线程的个todo队列中,表示由该线程来处理该事务,同时,每个事务都关联者个Binder实体对象,表示该事务的目标处理对
彻底理解AndroidBinder通信架构
01-27
为什么Android非要用Binder来进行进程间通信呢.从我个人的理解角度,曾尝试着在知乎回答同样一个问题为什么Android要采用Binder作为IPC机制?.这是我第一次认认真真地在知乎上回答问题,收到很多网友的点赞与回复,让我...
Android Binder机制浅谈以及使用Binder进行跨进程通信的俩种方式(AIDL以及直接利用Binder的transact方法实现)
XJ200012的博客
06-14 4773
此篇文章是对Binder的学习以及使用Binder的方式和总结,图文并茂,附上源码说明
简析 Binder 数据传输流程
黎程雨的博客
07-28 1871
本文是一篇流程解析,而非源码解析,虽然文章中包含对源码的解读,但源码中的细节基本已经砍光,仅保留主要部分。 所有源码来源于文章发布时间近期 AOSP 的 master 分支。 聊到 Android 中的进程间通信,果然还是绕不开 Binder。 前言 何为进程间通信的障碍 在操作系统中,由于虚拟化,不同进程可访问的内存区域被隔离,以确保进程间不会相互干预。因虚拟化内存机制的存在,两个进程的数据传递,即进程间通信(IPC,Inter-Process Communication),必须借助相关机制完成.
Binder 跨进程传递对象的原理
Lud的博客
02-08 866
1. binder 传递有哪些方式 2. binder 在传递过程中是怎样存储的 3. binder 对象序列化和反序列化的过程 4. binder 对象在传递过程中驱动做了什么
Android跨进程传输超大bitmap的实现
BridgeGeorge
07-29 1万+
需求背景 项目中有个需求是这样的,在主进程Activity 中选择或者编辑一张背景图产生一个bitmap 对象,要传递给 B进程(推流进程)作为推流引擎的背景图,这个bitmap 有可能比较大,因为要尽量保证清晰度,所以这个bitmap还有可能比较大,所以必然会涉及到跨进程传输大型bitmap 的问题。 有哪些方案 跨进程传递大图,我们能想到哪些方案呢? 文件写入磁盘 最容易想到的方案就是先给图片...
Android Binder通信原理详解
luo_boke的博客
11-10 3566
相比其他的跨进程通信方式Binder有其自身特有的优点: 1. Binder使用mmap机制,只拷贝了一次数据,性能上仅次于**共享内存** 2. 采用Client/Server架构,实现面向对象的调用方式,调用如同调用Java对象,**使用简单** 3. 为每个App分配了UID/PID来鉴别身份标识,通信时检测UID/PID进行有效性检测,提高了**安全性** 在Android开发中常常使用Binder,但是却对其细节原理一知半解,自我重新学习总结一下Binder知识,希望我的学习心得对各位看官有用。
Parcel数据传输过程,简要分析Binder流程
freshui的专栏
02-13 8933
Android Binder框架跨进程传输的,基本都是通过Parcel来封装的数据[注1],这个是十分底层的实现了。对于Framework开发来说,除了了解RPC的抽象意义外,对底层的具体通信细节的实现,也是要比较了解的,这里简单记录一下RPC通信数据传递的过程。 1. parcel是啥 Parcel主要是方便实现上层抽象对象或数据打包做跨进程传输而封装的一个类,类名的
深入理解Binder通信原理及面试问题
热门推荐
happylishang的专栏
03-15 1万+
Binder承担了绝大部分Android进程通信的职责,可以看做是Android的血管系统,负责不同服务模块进程间的通信。在对Binder的理解上,可大可小,日常APP开发并不怎么涉及Binder通信知识,最多就是Service及AIDL的使用会涉及部分Binder知识。Binder往小了说可总结成一句话:一种IPC进程间通信方式,负责进程A的数据,发送到进程B。往大了说,其实涉及的知识还是很多的
Binder进程间通信机制(图文解析)
omyrobin的专栏
12-19 1万+
前言本来想洋洋洒洒写一篇形象生动的Binder原理的文章,再配上我这个灵魂画手的图画,但是再经过了1个多星期的学习后,我决定了,我自首,我这太年少了 我,太懵懂了,我没成想这Binder机制这么厉害!作为一名Android开发,常年使用java开发的人来说,C实在是太不友好了…..但是Binder机制对于整个Android系统来说,你难道没有感觉到,Binder是多么地重要~~所以我作为一名Andr...
红茶一杯话Binder传输机制篇_中)
weixin_33873846的博客
08-15 2232
2019独角兽企业重金招聘Python工程师标准>>> ...
Android Binder通信数据结构介绍
xuela-net
06-27 298
Binder通信进程描述——binder_proc 结构体binder_proc用来描述一个正在使用Binder进程间通信机制的进程。当一个进程调用函数open打开/dev/binder设备文件时,Binder驱动程序就会为该进程创建一个binder_proc结构体,并且保存在全局的binder_procs链表中。 struct binder_proc { //挂载在全局binder_pr...
binder通信原理
最新发布
08-31
Binder通信原理是Android中一种跨进程通信机制。它通过Binder驱动和Binder服务来实现进程间的通信。具体实现方式可以参考。 在Binder通信原理中,有三个关键的组件:Binder驱动、Binder服务和Binder客户端。Binder驱动是操作系统提供的内核模块,它负责在进程间传递消息。而Binder服务是一个独立的进程,用于管理和提供跨进程通信的能力。Binder客户端则是调用Binder服务的进程。 在通信过程中,首先需要调用binder_open函数打开Binder设备,然后使用mmap函数进行内存映射,将用户空间的内存映射到内核空间。接下来,通过ioctl函数进行实际的通信操作。 Android中的四大组件(Activity、Service、BroadcastReceiver和ContentProvider)的启动原理也与Binder IPC机制有关。其中,ActivityManagerService、PackageManagerService、WindowManagerService、PowerManagerService等服务的调用也与Binder IPC机制有关。 综上所述,Binder通信原理是Android中一种跨进程通信机制,通过Binder驱动和Binder服务来实现进程间的通信。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Binder通信机制原理解析](https://blog.csdn.net/Awenyini/article/details/78806893)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Binder通信原理](https://blog.csdn.net/z1804362542/article/details/127959348)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值