Binder 使用探索

最新推荐文章于 2024-09-14 19:06:02 发布
最新推荐文章于 2024-09-14 19:06:02 发布
阅读量1k 收藏 1
点赞数
分类专栏: 移动安全 文章标签: frameworks transactions buffer android returning include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomken_zhang/article/details/6859240
版权

在 Android 中 Binder 不可不知。

 

究竟 Binder 下面是如何玩转呢, 又是探索源代码的好理由  :D

 

在 Driver 中有 Binder 的驱动,这块就不深入了解了,只想了解在使用上面的一些原理。

在源码中搜索发现三处目录比较重要

\android2.32\frameworks\base\include\binder

\android2.32\frameworks\base\include\private

\android2.32\frameworks\base\libs

自然要去看看了,可以看到,是由一些 C++ 代码和头文件中组成。仔细分析了一下里面的代码,在IPCThreadState.cpp中不难发现,是实现最低程交换的地方,现摘录相关代码:

status_t IPCThreadState::talkWithDriver(bool doReceive)
{
    LOG_ASSERT(mProcess->mDriverFD >= 0, "Binder driver is not opened");
    
    binder_write_read bwr;
    
    // Is the read buffer empty?
    const bool needRead = mIn.dataPosition() >= mIn.dataSize();
    
    // We don't want to write anything if we are still reading
    // from data left in the input buffer and the caller
    // has requested to read the next data.
    const size_t outAvail = (!doReceive || needRead) ? mOut.dataSize() : 0;
    
    bwr.write_size = outAvail;
    bwr.write_buffer = (long unsigned int)mOut.data();

    // This is what we'll read.
    if (doReceive && needRead) {
        bwr.read_size = mIn.dataCapacity();
        bwr.read_buffer = (long unsigned int)mIn.data();
    } else {
        bwr.read_size = 0;
    }
    
    IF_LOG_COMMANDS() {
        TextOutput::Bundle _b(alog);
        if (outAvail != 0) {
            alog << "Sending commands to driver: " << indent;
            const void* cmds = (const void*)bwr.write_buffer;
            const void* end = ((const uint8_t*)cmds)+bwr.write_size;
            alog << HexDump(cmds, bwr.write_size) << endl;
            while (cmds < end) cmds = printCommand(alog, cmds);
            alog << dedent;
        }
        alog << "Size of receive buffer: " << bwr.read_size
            << ", needRead: " << needRead << ", doReceive: " << doReceive << endl;
    }
    
    // Return immediately if there is nothing to do.
    if ((bwr.write_size == 0) && (bwr.read_size == 0)) return NO_ERROR;
    
    bwr.write_consumed = 0;
    bwr.read_consumed = 0;
    status_t err;
    do {
        IF_LOG_COMMANDS() {
            alog << "About to read/write, write size = " << mOut.dataSize() << endl;
        }
#if defined(HAVE_ANDROID_OS)
        if (ioctl(mProcess->mDriverFD, BINDER_WRITE_READ, &bwr) >= 0)
            err = NO_ERROR;
        else
            err = -errno;
#else
        err = INVALID_OPERATION;
#endif
        IF_LOG_COMMANDS() {
            alog << "Finished read/write, write size = " << mOut.dataSize() << endl;
        }
    } while (err == -EINTR);
    
    IF_LOG_COMMANDS() {
        alog << "Our err: " << (void*)err << ", write consumed: "
            << bwr.write_consumed << " (of " << mOut.dataSize()
			<< "), read consumed: " << bwr.read_consumed << endl;
    }

    if (err >= NO_ERROR) {
        if (bwr.write_consumed > 0) {
            if (bwr.write_consumed < (ssize_t)mOut.dataSize())
                mOut.remove(0, bwr.write_consumed);
            else
                mOut.setDataSize(0);
        }
        if (bwr.read_consumed > 0) {
            mIn.setDataSize(bwr.read_consumed);
            mIn.setDataPosition(0);
        }
        IF_LOG_COMMANDS() {
            TextOutput::Bundle _b(alog);
            alog << "Remaining data size: " << mOut.dataSize() << endl;
            alog << "Received commands from driver: " << indent;
            const void* cmds = mIn.data();
            const void* end = mIn.data() + mIn.dataSize();
            alog << HexDump(cmds, mIn.dataSize()) << endl;
            while (cmds < end) cmds = printReturnCommand(alog, cmds);
            alog << dedent;
        }
        return NO_ERROR;
    }
    
    return err;
}


看函数名字可知是与驱动对话的,而里面是用 ioctl 系统调用来完成操作

if (ioctl(mProcess->mDriverFD, BINDER_WRITE_READ, &bwr) >= 0)

上面这句,根据函数定义不难发现,向一个句柄发送一个控制命令,最重要的参数是  bwr, 而这个参数的类型是 struct binder_write_read (在 \android2.32\frameworks\base\include\private\binder\binder_module.h) 中进行了定义的,这是最始始的数据类型了。

 

我们顺着 talkWithDriver 函数向上寻找吧,

在 talkWithDriver 中其实是把 mOut 数据写到里面的,这个对像是一个 Parcel 对像。

我们也能在 IPCThreadState.cpp 中发现一个最为常见的函数:

 

status_t IPCThreadState::transact(int32_t handle,
                                  uint32_t code, const Parcel& data,
                                  Parcel* reply, uint32_t flags)
{
    status_t err = data.errorCheck();

    flags |= TF_ACCEPT_FDS;

    IF_LOG_TRANSACTIONS() {
        TextOutput::Bundle _b(alog);
        alog << "BC_TRANSACTION thr " << (void*)pthread_self() << " / hand "
            << handle << " / code " << TypeCode(code) << ": "
            << indent << data << dedent << endl;
    }
    
    if (err == NO_ERROR) {
        LOG_ONEWAY(">>>> SEND from pid %d uid %d %s", getpid(), getuid(),
            (flags & TF_ONE_WAY) == 0 ? "READ REPLY" : "ONE WAY");
        err = writeTransactionData(BC_TRANSACTION, flags, handle, code, data, NULL);
    }
    
    if (err != NO_ERROR) {
        if (reply) reply->setError(err);
        return (mLastError = err);
    }
    
    if ((flags & TF_ONE_WAY) == 0) {
        #if 0
        if (code == 4) { // relayout
            LOGI(">>>>>> CALLING transaction 4");
        } else {
            LOGI(">>>>>> CALLING transaction %d", code);
        }
        #endif
        if (reply) {
            err = waitForResponse(reply);
        } else {
            Parcel fakeReply;
            err = waitForResponse(&fakeReply);
        }
        #if 0
        if (code == 4) { // relayout
            LOGI("<<<<<< RETURNING transaction 4");
        } else {
            LOGI("<<<<<< RETURNING transaction %d", code);
        }
        #endif
        
        IF_LOG_TRANSACTIONS() {
            TextOutput::Bundle _b(alog);
            alog << "BR_REPLY thr " << (void*)pthread_self() << " / hand "
                << handle << ": ";
            if (reply) alog << indent << *reply << dedent << endl;
            else alog << "(none requested)" << endl;
        }
    } else {
        err = waitForResponse(NULL, NULL);
    }
    
    return err;
}


而此函数被谁来调用呢,用 SI 可以看到,恰恰有 status_t BpBinder::transact 函数,还在很多地方都这样调用,现在我们可以看看这个 Parcel  对像的结构是怎样的

跟踪 mOut , 可发现在 writeTransactionData 函数中进行相关封装

mOut.writeInt32(cmd);
mOut.write(&tr, sizeof(tr));

看到:

第一个参数是一个 Int32 的命令

第二个参数是 binder_transaction_data 结构体,可以在 \android2.32\frameworks\base\include\private\binder\binder_module.h 中找到

由此确定 Binder 最下面通过  ioctl 只认 binder_write_read 这个结构体,然后用一个命令和一个 binder_transaction_data 结构体 封装一个 Parcel 对像放到  binder_write_read  中。

 

 

好了,发送就是这样,不向上展开了,再看看接受是怎样实现的!

 

因为 Binder 是为了实现C/S 结构,所以接受的自然是在服务端了,我们可以到 ServiceManager 看看,在这里 \android2.32\frameworks\base\cmds\servicemanager

里面很明显有一个 binder.c

 

里面的代码也和上面的类似,都是用 ioctl 来完成通讯的,其中:

 

void binder_loop(struct binder_state *bs, binder_handler func)
{
    int res;
    struct binder_write_read bwr;
    unsigned readbuf[32];

    bwr.write_size = 0;
    bwr.write_consumed = 0;
    bwr.write_buffer = 0;
    
    readbuf[0] = BC_ENTER_LOOPER;
    binder_write(bs, readbuf, sizeof(unsigned));

    for (;;) {
        bwr.read_size = sizeof(readbuf);
        bwr.read_consumed = 0;
        bwr.read_buffer = (unsigned) readbuf;

        res = ioctl(bs->fd, BINDER_WRITE_READ, &bwr);

        if (res < 0) {
            LOGE("binder_loop: ioctl failed (%s)\n", strerror(errno));
            break;
        }

        res = binder_parse(bs, 0, readbuf, bwr.read_consumed, func);
        if (res == 0) {
            LOGE("binder_loop: unexpected reply?!\n");
            break;
        }
        if (res < 0) {
            LOGE("binder_loop: io error %d %s\n", res, strerror(errno));
            break;
        }
    }
}


是一个主循环,循环接受事件,还是 struct binder_write_read 结构体!

 

看看 service_manager.c 中 main 函数吧 

int main(int argc, char **argv)
{
    struct binder_state *bs;
    void *svcmgr = BINDER_SERVICE_MANAGER;

    bs = binder_open(128*1024);

    if (binder_become_context_manager(bs)) {
        LOGE("cannot become context manager (%s)\n", strerror(errno));
        return -1;
    }

    svcmgr_handle = svcmgr;
    binder_loop(bs, svcmgr_handler);
    return 0;
}


使用很简单了,打开设备然后 binder_loop

 

 

tomken_zhang
关注
专栏目录
Android Binder机制详解
itbird的专栏
03-12 3918
Android系统中,涉及到多进程间的通信底层都是依赖于Binder IPC机制。Binder,英文意思是别针、回形针的意思,我们经常用回形针将两张纸别在一起,而在Android中,Binder用于将Client端与Service端别在一起。即把多个进程别在一起。比如:普通应用可以通过访问MusicService,而实现音乐的播放、暂停、停止功能。 Binder工作在Linux层面,属于一个驱动,只是这个驱动没有硬件支持,或者说其操作的硬件是基于一小段内存。从线程的角度讲,Binder驱动运行在内核态,客.
Binder基本使用
qq_33208587的博客
09-19 4494
Android开发中,Binder是一种跨进程通信方式,而使用AIDL可以实现Binder的工作。 如何使用它是了解它的第一步,本文章主要记录使用Binder的一些步骤。(代码思路参考《Android开发艺术探索》任玉刚 著) 1.创建两个activity 两个activity(OneActivity、TwoActivity),将OneActivity假设为服务端,TwoActivity假设...
java binder_Binder基本使用
weixin_34509784的博客
02-21 744
Android开发中,Binder是一种跨进程通信方式,而使用AIDL可以实现Binder的工作。如何使用它是了解它的第一步,本文章主要记录使用Binder的一些步骤。(代码思路参考《Android开发艺术探索》任玉刚 著)1.创建两个activity两个activity(OneActivity、TwoActivity),将OneActivity假设为服务端,TwoActivity假设为客户端,分...
Binder学习之旅(一)
new洪彬的博客
05-28 239
最近在看一些framework方面的东西,但是最后都绕不过binder,于是我再转向去了解binder的知识,但是看得我一头雾水。唉,仔细想想,我好想都没有正儿八经的写过跨进程通信的代码,那么,我就来手写一个跨进程的demo玩玩,同时也正好记录所遇到的问题。 AIDL AndroidStudio对AIDL开发支持真的很好啊,在新建文件的时候可以直接选择AIDL文件编写,AS会自动帮我们生成对应的java接口文件。我是从《Android开发艺术探索》上看到的AIDL编程,所以案例也用了同一个。 首先定义Boo
Binder学习之旅(二)
new洪彬的博客
05-30 278
前段时间用AIDL模板写了一个简单的进程间通信demo,并且也成功完成了进程间通信,今天就顺着demo来看看模板文件做了些什么事儿。 Service 回顾demo,用了两个app来进行实验,ServiceApp和ClientApp。 ServiceApp启动了一个BookService,ClientApp绑定Bookservice,进而进行进程间通信。在onServiceConnected回调中,可以拿到Ibinder,通过asInterface就可以获取到ServiceApp中我们想要的东西,在代码中如下
binder
03-16
总结来说,“binder”在这里是一个将mlr3机器学习库与Jupyter Notebook结合使用的工具,通过粘合剂服务,使得R语言的数据分析工作变得更加共享和互动,促进了数据科学领域的教育和合作。使用R和mlr3的用户可以通过...
Android binder_test
07-14
通过`binder_test`这个示例,你可以深入理解Android系统的Binder机制,学习如何使用C++进行Binder编程,这对于开发涉及多进程通信的Android应用非常有帮助。实践中不断探索,将使你更加熟练掌握这一核心技术。
binder线程池demo
11-09
这个“binder线程池demo”是基于《开发艺术探索》一书中的示例,旨在帮助开发者理解如何在Android环境中有效地利用线程池进行IPC操作。以下是对这个主题的详细解释: 1. **Binder基础**:BinderAndroid系统特有的...
Android Binder使用
大逗的博客
12-17 2637
Binder是一个深入的话题,由于Binder太过于复杂,所以本文不涉及底层细节,要想要知道底层细节可以去阅读写给 Android 应用工程师的 Binder 原理剖析、Android Bander设计与实现 - 设计篇这两篇文章。 1、AIDL文件的创建及解析  Binder使用起来还是比较简单的,创建一个IBinderPool.aidl文件然后clean一下,就可以给我们生成一个Java文件...
漏洞 — zergRush (补充)
10-13 5310
没看到上文的参见一下  http://blog.csdn.net/tomken_zhang/article/details/6866260   上文中还没有来细细分析漏洞的出处及利用过程,现在又有所收获,特记录下来。   上文说到,向 vold 发送了一段 SOCKET
SuperUser for Android 实现分析
10-14 3996
著名的 Superuser 程序是一直我们 root 后必装的一个软件,同时也保证了我们在 root 后安全的使用 root 能力。   在这里十分赞同这样的行为,在对设备进行扩充能力的同时避免扩充后的弊端, 再一次证明双刃剑要合理运用的道理。   如果说 root ex
Android 类实现探索-继承
10-10 661
上一篇文章有说到,在Android中的每一个类,在内存中都是以ClassObject结构体来表示的。而类的每个方法都是以Method结构体来表示的。具体可看源码中的 Object.h     在 ClassObject 中有下面几个变量和今天的题目有关:   Class
Android 类实现探索-内存结构
10-10 577
通过源码中的 Object.h 中可以看到 typedef struct Object { /* ptr to class object */ ClassObject* clazz; /* * A word containi
Android 类实现探索-原始数据类型
10-10 534
在上几篇中留下了一个疑点   struct DataObject { Object obj; /* MUST be first item */ /* variable #of u4 slots; u8 u
漏洞 — noreturn 使用
07-20 387
如下二种对函数 func 进行的声明: int func() __attribute__ ((noreturn)); int func() ; 执行结果略会略有不同,如果使用不当,存在被利用的风险,看如下使用: if(err != 0) { func();
Android Radio2.0——公告监听设置(四)
小旭的专栏
09-10 512
上一篇文章我们介绍了广播公告的注册及监听设置,这里我们来看一下广播公告添加监听的调用流程。
android 14.0 USB连接模式默认设为MTP
安卓兼职framework和app工程师的博客
09-13 267
在14.0android系统产品开发中,在通过otg连接设备的时候,会弹出usb连接模式这时候会让客户选择当前连接电脑是 哪种模式,在项目开发中,需要以mtp模式,就是可以在电脑查看设备的内部存储的样式来设置otg连接电脑的模式, 接下来分析下相关模式,来具体实现相关功能
Android14 蓝牙 BluetoothService 启动和相关代码介绍
最新发布
wenzhi的博客
09-14 1538
蓝牙开关和使能开发主要用到:BluetoothService、BluetoothManagerService、BluetoothManager、BluetoothAdapter 这几个系统相关类。某个蓝牙的配对、连接、断开 使用的是 BluetoothDevice 对象。蓝牙开关状态不记忆或者打开异常就可以看看BluetoothManagerService的日志,里面有打开关闭相关过程日志和时间点,这个对问题分析有一定的帮助。本文主要介绍一下 framework 相关的几个类,
深入探索Android IPC Binder机制
"深入探索Android IPC Binder框架" 深入探索Android IPC Binder是理解Android系统核心机制的关键,特别是当涉及到跨应用程序边界高效、低延迟的通信时。Android IPC(进程间通信)是不同应用组件之间交互的基础,而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值