Binder研究报告

最新推荐文章于 2024-05-04 23:43:38 发布
最新推荐文章于 2024-05-04 23:43:38 发布
阅读量634 收藏
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunbxonline/article/details/20308497
版权
Binder作为Android系统进程间通信的机制是各种service能够提供服务的基础,本文从mediaserver入手,试分析Binder机制的实现
一.综述
Binder机制的功能有二:
1.管理手机上的各种服务
2.应用程序通过Binder使用service提供的服务
为此,在手机启动过程中,需要注册各种服务到ServiceManager。之后,应用程序可以查询服务,并选择和某种服务进行通信。
二.注册服务
以mediaserver为例,它的入口函数在main_mediaserver.cpp,在同目录的Android.mk中,我们可以看到它被编译为mediaserver,代码如下:
int main(int argc, char** argv)
{
    sp<ProcessState> proc(ProcessState::self());
    sp<IServiceManager> sm = defaultServiceManager();
    LOGI("ServiceManager: %p", sm.get());
    AudioFlinger::instantiate();
    MediaPlayerService::instantiate();
    CameraService::instantiate();
    AudioPolicyService::instantiate();
    ProcessState::self()->startThreadPool();
    IPCThreadState::self()->joinThreadPool();
}
其中ProcessState::self()获取ProcessState的唯一实例,它是进程相关的,每个进程只有一个实例,定义于ProcessState.cpp,其构造函数如下:
ProcessState::ProcessState()
    : mDriverFD(open_driver()) //open_driver函数以读写方式打开/dev/binder设备
    , mVMStart(MAP_FAILED)
    , mManagesContexts(false)
    , mBinderContextCheckFunc(NULL)
    , mBinderContextUserData(NULL)
    , mThreadPoolStarted(false)
    , mThreadPoolSeq(1)
{
    if (mDriverFD >= 0) {
        // XXX Ideally, there should be a specific define for whether we
        // have mmap (or whether we could possibly have the kernel module
        // availabla).
#if !defined(HAVE_WIN32_IPC)
        // mmap the binder, providing a chunk of virtual address space to receive transactions.
        / /mmap的功能是为fd创建一块内存映射,对内存映射的读写就对应fd的一定偏移量的读写,这里指定的BINDER_VM_SIZE=1M-8k,PROT_READ表示fd的映射区域是只读的,也就是我们只能从binder设备中读取transaction
        mVMStart = mmap(0, BINDER_VM_SIZE, PROT_READ, MAP_PRIVATE | MAP_NORESERVE, mDriverFD, 0);
        if (mVMStart == MAP_FAILED) {
            // *sigh*
            LOGE("Using /dev/binder failed: unable to mmap transaction memory.\n");
            close(mDriverFD);
            mDriverFD = -1;
        }
#else
        mDriverFD = -1;
#endif
    }

    LOG_ALWAYS_FATAL_IF(mDriverFD < 0, "Binder driver could not be opened.  Terminating.");
}
也就是说,调用这个方法的进程都会打开binder设备,/dev/binder是Binder机制的基础,后面我们会看到Binder使用了共享内存,使得进程间的通信机制效率更高。

下面再来看sp<IServiceManager> sm = defaultServiceManager();它定义于IServiceManager.cpp
sp<IServiceManager> defaultServiceManager()
{
    if (gDefaultServiceManager != NULL) return gDefaultServiceManager;
    
    {
        AutoMutex _l(gDefaultServiceManagerLock);
        if (gDefaultServiceManager == NULL) {
            gDefaultServiceManager = interface_cast<IServiceManager>(
                ProcessState::self()->getContextObject(NULL));
        }
    }
    
    return gDefaultServiceManager;
}
关键是红色部分,先看参数 ProcessState::self()->getContextObject(NULL),它在ProcessState.cpp中,实际上它涉及三个函数
sp<IBinder> ProcessState::getContextObject(const sp<IBinder>& caller)
{
    return getStrongProxyForHandle(0);
}
//mHandleToObject是一个vector,本函数会根据handle查找是否有对应的entry,如果没找到会创建一个新的entry,其中binder为NULL
ProcessState::handle_entry* ProcessState::lookupHandleLocked(int32_t handle)
{
    const size_t N=mHandleToObject.size();
    if (N <= (size_t)handle) {
        handle_entry e;
        e.binder = NULL;
        e.refs = NULL;
        status_t err = mHandleToObject.insertAt(e, N, handle+1-N);
        if (err < NO_ERROR) return NULL;
    }
    return &mHandleToObject.editItemAt(handle);
}
sp<IBinder> ProcessState::getStrongProxyForHandle(int32_t handle)
{
    sp<IBinder> result;

    AutoMutex _l(mLock);

    handle_entry* e = lookupHandleLocked(handle);

    if (e != NULL) {
        // We need to create a new BpBinder if there isn't currently one, OR we
        // are unable to acquire a weak reference on this current one.  See comment
        // in getWeakProxyForHandle() for more info about this.
        IBinder* b = e->binder;
        if (b == NULL || !e->refs->attemptIncWeak(this)) {
            b = new BpBinder(handle);
            e->binder = b;
            if (b) e->refs = b->getWeakRefs();
            result = b;
        } else {
            // This little bit of nastyness is to allow us to add a primary
            // reference to the remote proxy when this team doesn't have one
            // but another team is sending the handle to us.
            result.force_set(b);
            e->refs->decWeak(this);
        }
    }
    return result;
}
第一次调用getStrongProxyForHandle(0)的时候,必然会走new BpBinder(handle)的路径,即返回了一个sp<BpBinder>,BpBinder继承自IBinder,见参考2中的类图,也就是说ProcessState::getContextObject函数返回的是一个sp<BpBinder>。

再回到 gDefaultServiceManager = interface_cast<IServiceManager>( ProcessState::self()->getContextObject(NULL));
interface_cast定义于frameworks/base/include/binder/IInterface.h
template<typename INTERFACE>
inline sp<INTERFACE> interface_cast(const sp<IBinder>& obj)
{
    return INTERFACE::asInterface(obj);
}
它是一个模板函数,interface_cast<IServiceManager>()将会返回IServiceManager::asInterface(obj)
在IInterface.h中定义了如下的宏
//用于在类中声明
#define DECLARE_META_INTERFACE(INTERFACE)                               \
    static const android::String16 descriptor;                          \
    static android::sp<I##INTERFACE> asInterface(                       \
            const android::sp<android::IBinder>& obj);                  \
    virtual const android::String16& getInterfaceDescriptor() const;    \
    I##INTERFACE();                                                     \
    virtual ~I##INTERFACE();       
//用于实现
#define IMPLEMENT_META_INTERFACE(INTERFACE, NAME)                       \
    const android::String16 I##INTERFACE:: descriptor(NAME);             \
    const android::String16&                                            \
            I##INTERFACE:: getInterfaceDescriptor() const {              \
        return I##INTERFACE::descriptor;                                \
    }                                                                   \
    android::sp<I##INTERFACE> I##INTERFACE:: asInterface(                \
            const android::sp<android::IBinder>& obj)                   \
    {                                                                   \
        android::sp<I##INTERFACE> intr;                                 \
        if (obj != NULL) {                                              \
            intr = static_cast<I##INTERFACE*>(                          \
                obj->queryLocalInterface(                               \
                        I##INTERFACE::descriptor).get());               \
            if (intr == NULL) {                                         \
                intr = new Bp##INTERFACE(obj);                          \
            }                                                           \
        }                                                               \
        return intr;                                                    \
    }                                                                   \
    I##INTERFACE::I##INTERFACE() { }                                    \
    I##INTERFACE::~I##INTERFACE() { }                                   \
在IServiceManager.h的IServiceManager类中声明了这个宏,在IServiceManager.cpp中
IMPLEMENT_META_INTERFACE(ServiceManager, "android.os.IServiceManager");
也 就是说IServiceManager::descriptor = "android.os.IServiceManager"。同时,添加了两个函数,getInterfaceDescriptor和asInterface
我们主要看asInterface函数,它的意思是说,参数obj,即IBinder实例,要调用queryLocalInterface函数,从刚才的分析,我们知道这里obj实际上是BpBinder,它没有实现queryLocalInterface,而是继承了基类IBinder的函数实现,而IBinder::queryLocalInterface只是返回了NULL,所以后续流程看,asInterface函数,将会返回new BpServiceManager(obj),在后面我们还会看到asInterface这个函数,理解它为什么这么做。

从参考2的类图中,我们可以看到BpServiceManager继承自BpRefBase,mRemote是BpRefBase类的成员变量,在这里参数obj将会保存至mRemote中,后面会用到这个变量。
class BpServiceManager定义于IServiceManager.cpp,它派生自BpInterface<IServiceManager>,而BpInterface定义于IInterface.h
template<typename INTERFACE>
class BpInterface : public INTERFACE, public BpRefBase
{
public:
                                BpInterface(const sp<IBinder>& remote);

protected:
    virtual IBinder*            onAsBinder();
};
从 BpInterface类的定义,我们可以看到BpInterface<IServiceManager>是从IServiceManager继承而来,所以 defaultServiceManager函数返回的是一个sp<BpServiceManager>对象是与 sp<IServiceManager>兼容的。

再回到main函数中,后面的几句都是用来注册服务的,我们以MediaPlayerService为例
MediaPlayerService::instantiate();
该函数实现于MediaPalyerService.cpp
void MediaPlayerService::instantiate() {
    defaultServiceManager()->addService(
            String16("media.player"), new MediaPlayerService());
}
defaultServiceManager(),我们知道将会返回一个sp<BpServiceManager>,其addService函数实现于IServiceManager.cpp,如下:
virtual status_t addService(const String16& name, const sp<IBinder>& service)
    {
        Parcel data, reply;
        //write "android.os.IServiceManager"
        data.writeInterfaceToken(IServiceManager::getInterfaceDescriptor());
        //write service name
        data.writeString16(name);
        //write service,后面我们将会看到这里到底写了什么
        data.writeStrongBinder(service);
        LOGI("Remote_transact add service");
        status_t err = remote()->transact(ADD_SERVICE_TRANSACTION, data, &reply);
        return err == NO_ERROR ? reply.readExceptionCode() : err;
    }
关键点在红色部分,首先remote(),即BpServiceManager::remote(),前面我们分析过,它返回BpBinder,即将会调用BpBinder->transact,该函数定义于BpBinder.cpp,如下:
status_t BpBinder::transact(
    uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags)
{
    // Once a binder has died, it will never come back to life.
    if (mAlive) {
         //mHandle即在new BpBinder的时候传入的0
        status_t status = IPCThreadState::self()->transact(
            mHandle, code, data, reply, flags);
        if (status == DEAD_OBJECT) mAlive = 0;
        return status;
    }

    return DEAD_OBJECT;
}
IPCThreadState::self()会返回IPCThreadState的唯一实例,它是线程相关的,通过TLS实现,每个线程都会有一个这个实例
status_t IPCThreadState::transact(int32_t handle,
                                  uint32_t code, const Parcel& data,
                                  Parcel* reply, uint32_t flags)
{
    LOGI("ipc_client pid=%d,handle=%d,code=%d,flags=%d\n",getpid(),handle,code,flags);

    status_t err = data.errorCheck();

    flags |= TF_ACCEPT_FDS;

    IF_LOG_TRANSACTIONS() {
        TextOutput::Bundle _b(alog);
        alog << "BC_TRANSACTION thr " << (void*)pthread_self() << " / hand "
            << handle << " / code " << TypeCode(code) << ": "
            << indent << data << dedent << endl;
    }
    
    if (err == NO_ERROR) {
        LOG_ONEWAY(">>>> SEND from pid %d uid %d %s", getpid(), getuid(),
            (flags & TF_ONE_WAY) == 0 ? "READ REPLY" : "ONE WAY");
        LOGI("ipc_client pid=%d send cmd BC_TRANSACTION",getpid());
        //将会把参数写入mOut变量,等待发送数据
        err = writeTransactionData(BC_TRANSACTION, flags, handle, code, data, NULL);
    }
    
    if (err != NO_ERROR) {
        if (reply) reply->setError(err);
        return (mLastError = err);
    }
    
    if ((flags & TF_ONE_WAY) == 0) {
        #if 0
        if (code == 4) { // relayout
            LOGI(">>>>>> CALLING transaction 4");
        } else {
            LOGI(">>>>>> CALLING transaction %d", code);
        }
        #endif
        if (reply) {
            //这里发送和接收数据
            err = waitForResponse(reply);
        } else {
            Parcel fakeReply;
            err = waitForResponse(&fakeReply);
        }
        #if 0
        if (code == 4) { // relayout
            LOGI("<<<<<< RETURNING transaction 4");
        } else {
            LOGI("<<<<<< RETURNING transaction %d", code);
        }
        #endif
        
        IF_LOG_TRANSACTIONS() {
            TextOutput::Bundle _b(alog);
            alog << "BR_REPLY thr " << (void*)pthread_self() << " / hand "
                << handle << ": ";
            if (reply) alog << indent << *reply << dedent << endl;
            else alog << "(none requested)" << endl;
        }
    } else {
        err = waitForResponse(NULL, NULL);
    }
    
    return err;
}

IPCThreadState::transact函数中有两个函数需要重点说明:
1.err = writeTransactionData( BC_TRANSACTION, flags, handle, code, data, NULL);
该函数把数据写到mOut变量中,mOut是一个Parcle对象
2.err = waitForResponse(reply);
status_t IPCThreadState::waitForResponse(Parcel *reply, status_t *acquireResult)
{
    int32_t cmd;
    int32_t err;

    while (1) {
        //talkWithDriver是用来发送和接收数据的函数
        if ((err=talkWithDriver()) < NO_ERROR) break;
        err = mIn.errorCheck();
        if (err < NO_ERROR) break;
        if (mIn.dataAvail() == 0) continue;
        
        cmd = mIn.readInt32();
        
        IF_LOG_COMMANDS() {
            alog << "Processing waitForResponse Command: "
                << getReturnString(cmd) << endl;
        }

        switch (cmd) {
        case BR_TRANSACTION_COMPLETE:
            if (!reply && !acquireResult) goto finish;
            break;
        case BR_REPLY:
             ....
            goto finish
       。。。。。。
        default:
            //执行接收到的命令
            err = executeCommand(cmd);
            if (err != NO_ERROR) goto finish;
            break;
        }
    }

finish:
    if (err != NO_ERROR) {
        if (acquireResult) *acquireResult = err;
        if (reply) reply->setError(err);
        mLastError = err;
    }
    
    return err;
}

talkWithDriver的定义如下:
status_t IPCThreadState::talkWithDriver(bool doReceive)
{
    LOG_ASSERT(mProcess->mDriverFD >= 0, "Binder driver is not opened");
   
    。。。。

    do {
        IF_LOG_COMMANDS() {
            alog << "About to read/write, write size = " << mOut.dataSize() << endl;
        }
#if defined(HAVE_ANDROID_OS)
        //使用ioctl控制内核收发数据,注意这里的fd是mProcess->mDriverFD,它是属于进程的,由线程共享的
        if (ioctl(mProcess->mDriverFD, BINDER_WRITE_READ, &bwr) >= 0)
            err = NO_ERROR;
        else
            err = -errno;
#else
        err = INVALID_OPERATION;
#endif
        IF_LOG_COMMANDS() {
            alog << "Finished read/write, write size = " << mOut.dataSize() << endl;
        }
    } while (err == -EINTR);

    。。。。
    
    return err;
}
talkWithDriver的功能很简单,就是调用系统调用ioctl同时进行发送和接收。BC_XXX应该表示command,BR_XXX应该表示response
我们会经过一系列的command交互,以下是log显示的一个command交互过程,handle=0,表示发送给servicemanager,code=3,表示是addService:
I/IPCThreadState(   75): ipc_client pid=75,handle=0,code=3,flags=0
I/IPCThreadState(   75): ipc_client pid=75 send cmd BC_TRANSACTION
I/Binder  (   27): svc_server pid=27 recv BR_NOOP
I/Binder  (   27): svc_server pid=27 recv BR_TRANSACTION
I/ServiceManager(   27): svc_server pid=27 ipc_client pid=75 target=0x0 code=3 uid=1000
I/ServiceManager(   27): svc_server add_service('batteryinfo',0xa) uid=1000
I/Binder  (   27): svc_server pid=27 send cmd BC_ACQUIRE
I/Binder  (   27): svc_server pid=27 send cmd  BC_REQUEST_DEATH_NOTIFICATION
I/Binder  (   27): svc_server pid=27 send cmd BC_FREE_BUFFER
I/Binder  (   27): svc_server pid=27 send cmd BC_REPLY,status=0
I/Binder  (   27): svc_server pid=27 recv BR_NOOP
I/Binder  (   27): svc_server pid=27 recv BR_TRANSACTION_COMPLETE
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_NOOP
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_INCREFS
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_ACQUIRE
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_TRANSACTION_COMPLETE
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_NOOP
I/IPCThreadState(   75): ipc_client pid=75 recv cmd=BR_REPLY
特别需要注意的是waitForResponse函数在此过程中,如果不处理收到的响应,一直处于休眠,直到我们收到REPLY,表示addService成功,才退出循环并返回。所以addService函数是一个同步函数。

至此,MediaPlayerService::instantiate();调用分析完成,但是现在的问题是,我们在和谁通信。

三.servicemanager
service_manager就是我们与之通信的进程,它由service_manager.c编译而来,其main函数如下:
int main(int argc, char **argv)
{
    struct binder_state *bs;
    void *svcmgr = BINDER_SERVICE_MANAGER;

    bs = binder_open(128*1024);

    //这里调用系统调用ioctl,告诉系统,servicemanager的handle为0,也就是BpBinder中使用的handle
    if ( binder_become_context_manager(bs)) {
        LOGE("cannot become context manager (%s)\n", strerror(errno));
        return -1;
    }

    svcmgr_handle = svcmgr;
    binder_loop(bs, svcmgr_handler);
    return 0;
}
其中,binder_open定义如下:
struct binder_state *binder_open(unsigned mapsize)
{
    struct binder_state *bs;

    bs = malloc(sizeof(*bs));
    if (!bs) {
        errno = ENOMEM;
        return 0;
    }
    //打开binder设备
    bs->fd = open("/dev/binder", O_RDWR);
    if (bs->fd < 0) {
        fprintf(stderr,"binder: cannot open device (%s)\n",
                strerror(errno));
        goto fail_open;
    }

    bs->mapsize = mapsize;
    //为fd分配共享内存
    bs->mapped = mmap(NULL, mapsize, PROT_READ, MAP_PRIVATE, bs->fd, 0);
    if (bs->mapped == MAP_FAILED) {
        fprintf(stderr,"binder: cannot map device (%s)\n",
                strerror(errno));
        goto fail_map;
    }

        /* TODO: check version */

    return bs;

fail_map:
    close(bs->fd);
fail_open:
    free(bs);
    return 0;
}
再来看binder_loop
void binder_loop(struct binder_state *bs, binder_handler func)
{
    int res;
    struct binder_write_read bwr;
    unsigned readbuf[32];

    bwr.write_size = 0;
    bwr.write_consumed = 0;
    bwr.write_buffer = 0;
    
    readbuf[0] = BC_ENTER_LOOPER;
    binder_write(bs, readbuf, sizeof(unsigned));

    for (;;) {
        bwr.read_size = sizeof(readbuf);
        bwr.read_consumed = 0;
        bwr.read_buffer = (unsigned) readbuf;
        //同样调用ioctl进行收发数据
        res = ioctl(bs->fd, BINDER_WRITE_READ, &bwr);

        if (res < 0) {
            LOGE("binder_loop: ioctl failed (%s)\n", strerror(errno));
            break;
        }
        //调用binder_parse解析收到的数据
        res = binder_parse(bs, 0, readbuf, bwr.read_consumed, func);
        if (res == 0) {
            LOGE("binder_loop: unexpected reply?!\n");
            break;
        }
        if (res < 0) {
            LOGE("binder_loop: io error %d %s\n", res, strerror(errno));
            break;
        }
    }
}
binder_parse中比较特殊的处理是调用了func回调函数,和binder_send_reply。binder_send_reply用来发送reply,func回调函数就是main函数中设置的svcmgr_handler,其定义如下:
int svcmgr_handler(struct binder_state *bs,
                   struct binder_txn *txn,
                   struct binder_io *msg,
                   struct binder_io *reply)
{
    struct svcinfo *si;
    uint16_t *s;
    unsigned len;
    void *ptr;
    uint32_t strict_policy;

   LOGI("svc_server pid=%d ipc_client pid=%d target=%p code=%d uid=%d\n",getpid(),
        txn->sender_pid,txn->target, txn->code,  txn->sender_euid);

    if (txn->target != svcmgr_handle)
        return -1;

    // Equivalent to Parcel::enforceInterface(), reading the RPC
    // header with the strict mode policy mask and the interface name.
    // Note that we ignore the strict_policy and don't propagate it
    // further (since we do no outbound RPCs anyway).
    strict_policy = bio_get_uint32(msg);
    s = bio_get_string16(msg, &len);
    if ((len != (sizeof(svcmgr_id) / 2)) ||
        memcmp(svcmgr_id, s, sizeof(svcmgr_id))) {
        fprintf(stderr,"invalid id %s\n", str8(s));
        return -1;
    }

    switch(txn->code) {
    case SVC_MGR_GET_SERVICE:
    case SVC_MGR_CHECK_SERVICE:
        s = bio_get_string16(msg, &len);
        ptr = do_find_service(bs, s, len);
        if (!ptr)
            break;
        bio_put_ref(reply, ptr);
        return 0;

    case SVC_MGR_ADD_SERVICE:
        s = bio_get_string16(msg, &len);
        ptr = bio_get_ref(msg);
        if (do_add_service(bs, s, len, ptr, txn->sender_euid))
            return -1;
        break;

    case SVC_MGR_LIST_SERVICES: {
        unsigned n = bio_get_uint32(msg);

        si = svclist;
        while ((n-- > 0) && si)
            si = si->next;
        if (si) {
            bio_put_string16(reply, si->name);
            return 0;
        }
        return -1;
    }
    default:
        LOGE("unknown code %d\n", txn->code);
        return -1;
    }

    bio_put_uint32(reply, 0);
    return 0;
}
从这里我们可以很清楚的看到add_service交给do_add_service函数处理,实际上就是加入一个list中加入新的节点。

四.亢龙有悔,再来看IServiceManager
现在我们再回顾一下service是如何通过binder注册给servicemanager的
1.每个进程都有一个ProcessState实例,它持有一个/dev/binder设备的fd,这样线程就能通过它与servicemanager通信,而且ProcessState实例还有一个handle与BpBinder对应的列表,通过handle可以找到相应的BpBinder
2.通过defaultServiceManager函数,每个进程都得到了一个BpServiceManager实例,它实际上包含一个BpBinder,即ProcessState实例中,handle为0的BpBinder
3.当前IPCThreadState,使用进程持有的binder设备的fd,使用ioctl系统调用,与BpBinder持有的handle对应的server端交互。
4.需要区分的是,BC_TRANSACTION,BR_REPLY是binder机制中的command,而ADD_SERVICE,CHECK_SERVICE是client与server协商好的code,是与binder无关的。
再来看IServiceManager.cpp中的BpServiceManager,它实际上是servicemanager的代理类,它运行在client进程中,如果一个进程想要提供服务,首先就要通过defaultServiceManager得到一个BpServiceManager实例,BpServiceManager提供getService,checkService,addService,listService服务,而这些功能又是通过它包含的BpBinder实现的。由此看来,BpBinder封装了Binder通信机制,client端可以通过使用它与服务器端通信。

五.Service
现在我们了解service与servicemanager之间的通信,还有另外一个方面,应用程序作为client是如何与作为server端的service通信的呢?
我们再来看void MediaPlayerService::instantiate()函数,
void MediaPlayerService::instantiate() {
    defaultServiceManager()->addService(
            String16("media.player"), new MediaPlayerService());
}
addService的原型如下:
    virtual status_t addService(const String16& name, const sp<IBinder>& service)
按照我们的理解,这个函数是用来向servicemanager注册服务的,name指定service的名称,service是服务,client与之通信的服务,应该就是这个实例,那么这个服务到底是什么呢?我们来看MediaPlayerService类,MediaPlayerService类在MediaPlayerService.h中定义,从参考2的类图中,我们可以看到MediaPlayerService继承自BnMediaPlayerService,而BnMediaPlayerService继承自BnInterface<IMediaPlayerService>(定义于IMediaPlayerService.h),而BnInterface<IMediaPlayerService>与BpInterface一样都是定义于IInterface.h,它是从IMediaPlayerService和BBinder多重继承的。IMediaPlayerService类继承自IInterface。这个BBinder就是server端的代理,它定义于Binder.h它负责接收client端的请求,表现在它的transact函数的实现上,
status_t BBinder::transact(
    uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags)
{
    data.setDataPosition(0);

    status_t err = NO_ERROR;
    switch (code) {
        case PING_TRANSACTION:
            reply->writeInt32(pingBinder());
            break;
        default:
            err = onTransact(code, data, reply, flags);
            break;
    }

    if (reply != NULL) {
        reply->setDataPosition(0);
    }

    return err;
}
onTransact是一个可以由派生类覆盖的虚函数,派生类可以实现自己的code的处理。那么现在的问题是,BBinder::transact函数是如何被驱动起来的?它是在哪里被调用的呢?答案在main_mediaserver.cpp的main函数中,在main函数的最后,
    ProcessState::self()->startThreadPool();
    IPCThreadState::self()->joinThreadPool();
这里除了主线程之外,还启动了一个线程,线程中会调用talkWithDriver函数,然后调用executeCommand函数,该函数在处理BR_TRANSACTION的时候,有如下的一段:
if (tr.target.ptr) {
                sp<BBinder> b((BBinder*)tr.cookie);
                const status_t error = b->transact(tr.code, buffer, &reply, tr.flags);
                if (error < NO_ERROR) reply.setError(error);

            } else {
                const status_t error = the_context_object->transact(tr.code, buffer, &reply, tr.flags);
                if (error < NO_ERROR) reply.setError(error);
            }
if ((tr.flags & TF_ONE_WAY) == 0) {
                LOG_ONEWAY("Sending reply to %d!", mCallingPid);
                sendReply(reply, 0);
            } else {
                LOG_ONEWAY("NOT sending reply to %d!", mCallingPid);
            }
也就是说talkWithDriver把当前线程的命令发送给driver,然后从driver接收响应,交给executeCommand处理,在处理BR_TRANSACTION的时候,会从参数得到BBinder,然后调用其transact处理,这样server端就对用户的请求做了处理,sendReply发送结果给client端,从它的实现,我们可以看到,它实际上是发送了一个BC_REPLY的command
status_t IPCThreadState::sendReply(const Parcel& reply, uint32_t flags)
{
    status_t err;
    status_t statusBuffer;
    err = writeTransactionData(BC_REPLY, flags, -1, 0, reply, &statusBuffer);
    if (err < NO_ERROR) return err;
    
    return waitForResponse(NULL, NULL);
}
同样是mediaserver进程,对比注册服务的过程,那时候BpServiceManager是作为client端,使用BpBinder与servicemanager通信,现在Service作为server端,使用BBinder与client通信。


4.reply

local,remote

通过handle确定了发送端和目的端之间的通信

六.Binder的层次结构

七.Binder实践

参考
1.文件列表
frameworks/base/media/mediaserver/main_mediaserver.cpp
frameworks/base/include/binder/IServiceManager.h
frameworks/base/libs/binder/IServiceManager.cpp
frameworks/base/libs/binder/ProcessState.cpp
frameworks/base/include/binder/ProcessState.h
frameworks/base/libs/binder/IServiceManager.cpp
frameworks/base/include/binder/IInterface.h
frameworks/base/media/libmediaplayerservice/MediaPlayerService.cpp
frameworks/base/libs/binder/BpBinder.cpp
frameworks/base/include/binder/BpBinder.h
frameworks/base/libs/binder/IPCThreadState.cpp
frameworks/base/include/binder/IPCThreadState.h
frameworks/base/cmds/servicemanager/service_manager.c
frameworks/base/cmds/servicemanager/binder.c
frameworks/base/media/libmediaplayerservice/MediaPlayerService.h
frameworks/base/include/binder/Binder.h

2.Binder的类图
sunbxonline
关注
专栏目录
Android IPC机制(四):细说Binder连接池
蓝天白云梦的csdn博客
04-14 6045
结合代码分析Binder连接池的使用
SystemServer研究报告
03-02 943
一.SystemServer的启动 SystemServer是由Zygote 启动的进程,它运行 java代码,在该进程中启动其他的 Java层服务。SystemServer 首先从SystemServer.main开始 [java code] 1.SystemServer.main ----->System.loadLibrary("android_servers"); -
深入理解Binder机制
乌啼夜的酒痕
05-03 2421
Binder概述   Binder其前身是由Be Inc.和Palm,Inc.开发的OpenBinder,而后Google将其带入Android系统作为主要的跨进程通信技术使用。Binder之所以能被Google青睐跟其优越的传输性能及安全性能是分不开的。在传输性能上,传统的linux系统IPC如Socket、管道、消息队列等在跨进程传输时数据会被拷贝2次,而Binder则利用mmap只需一次拷贝...
BINDER SECCTX PATCH ANALYSIS
omnispace的博客
03-31 737
在2019年初,Binder内核模块中添加了一项新功能。此修补程序允许在Binder事务中发送调用方SElinux上下文。该功能实际上是CVE-2019-2023的修复程序。此漏洞与不正确使用getpidcon函数有关,从而导致ACL绕过。 本文研究此修补程序的详细信息及其对安全性的影响。 getpidcon ACL绕过 关于getpidcon()使用的问题在Android中由来已久。...
SurfaceFlinger研究报告
03-02 1498
SurfaceFlinger研究报告 SurfaceFlinger研究报告                                                                                                                                       1 一.综述与SurfaceFlinger的类结
Surface研究报告
03-02 1114
Surface研究报告 这篇文章主要描述从 Surface的创建,即客户数据是如何通过 Surface进行显示的。 一.从 Activity的创建说起 1.进程的创建 创建 Activity的过程,首先要从创建Activity所在的进程说起。在用户请求启动某个应用程序的时候,会调用 ActivityManagerService.startProcessLocked ActivityMan
Activity研究报告
03-02 1077
Activity与Surface 这篇文章主要描述从Activity的创建,直到Surface显示的过程 一.Activity的创建 1.进程的创建 创建Activity的过程,首先要从创建Activity所在的进程说起。在用户请求启动某个应用程序的时候,会调用ActivityManagerService.startProcessLocked ActivityManagerService.star
Zygote研究报告
03-02 865
一.Zygote的前世今生 1.前世 在init.rc中,zygote作为一个service被启动,其配置为: service zygote /system/bin/app_process --zygote /system/bin --zygote --start-system-server 其中: app_process命令是frameworks/base/cmds/app_proce
2024年Web前端最全【健康管理系统——开题报告 分享(仅供参考呀)(1),前端源码的Binder权限是如何控制
2401_84437530的博客
05-04 860
基础知识是前端一面必问的,如果你在基础知识这一块翻车了,就算你框架玩的再6,webpack、git、node学习的再好也无济于事,因为对方就不会再给你展示的机会,千万不要因为基础错过了自己心怡的公司。前端的基础知识杂且多,并不是理解就ok了,有些是真的要去记。当然了我们是牛x的前端工程师,每天像背英语单词一样去背知识点就没必要了,只要平时工作中多注意总结,面试前端刷下题目就可以了。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】实现对健康信息分析的可视化;
工业食品脱水机研究报告.docx
01-18
《全球及中国工业食品脱水机行业发展趋势研究报告》 工业食品脱水机是食品加工行业中不可或缺的设备之一,主要用于去除食品中的水分,提高食品的保质期和便于运输储存。近年来,随着全球食品安全意识的提升以及对...
安卓系统研究报告.doc
03-26
报告详细探讨了安卓系统,一种广泛应用于智能手机和平板电脑的嵌入式操作系统。操作系统是计算机系统的核心,负责管理和控制硬件和软件资源,为用户提供与计算机交互的界面。在众多操作系统类型中,安卓操作系统是...
PDFBinder-v1.2
05-04
2. **PDF文件合并**:PDFBinder提供了文件合并功能,允许用户将多个PDF文档合并成一个,这对于处理大量的PDF文献、报告或者合同等非常有用。合并后,用户可以一次性浏览所有内容,无需频繁切换文件。 3. **用户界面...
Binder驱动初探
03-02 952
Binder驱动初探 一.Binder驱动涉及的基本数据结构 1.binder_buffer 对mmap分配的内存进行管理的基本节点 struct binder_buffer {     struct list_head entry; /* free and allocated entries by addesss */     struct rb_node rb_node
RIL研究报告
03-02 836
一.整体架构综述 ril用于实现打电话,发短信等通信业务功能,它主要通过AT命令与硬件模块交互实现功能。   这里一共涉及两个进程,一个是Phone process,一个是ril进程,Phone显然是上层进程,ril是负责与硬件打交道的进程。在ril中有四个线程,rild启动了一个主线程和一个eventLoop线程,主线程一直处于休眠状态,eventLoop线程在接收到Phone进
Android GDB调试
03-02 804
一.使用GDB调试native代码 使用GDB调试native代码基本上需要分为两步走: 1.启动gdbserver 首先要确保emulator或者真机上存在gdbserver程序 其次你需要指定一个端口,该端口即是adb监听的端口,也是emulator上gdbserver监听的端口,实际上adb就是把在这个端口上监听到的数据发送给gdbserver的,即执行如下的命令 adb forw
Init研究报告
12-19 572
本文先说明init的大致流程,然后择重点说明其重要部分 一.Init整体流程 Init进程主函数main定义于system/core/init/init.c中,从该目录的Android.mk中我们知道该文件最终被编译为Init命令,也就是内核启动的第一个命令。它的进程号是1,用于系统的用户层初始化和启动各种服务进程。 1)配置规则 Init读取两个配置文件,/init.rc和/in
python023基于Python旅游景点推荐系统带vue前后端分离毕业源码案例设计.zip
最新发布
11-05
python023基于Python旅游景点推荐系统带vue前后端分离毕业源码案例设计 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
Fuzzing Binder:Android系统安全与漏洞利用
这篇文档主要探讨的是关于Android系统中的Binder组件的模糊测试(Fuzzing)以及利用Binder进行安全研究的乐趣与收益。作者Flanker是KEEN团队的安全研究员,专注于系统安全和漏洞利用,尤其在Android安全方面有诸多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值