Binder源码分析之Native层(原)

最新推荐文章于 2024-03-30 02:09:58 发布
VIP文章 最新推荐文章于 2024-03-30 02:09:58 发布
阅读量7.3k 收藏 11
点赞数 3
分类专栏: Binder Android AIDL 文章标签: AIDL Binder 源码 框架 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010961631/article/details/20922145
版权
        前面两节中介绍了Binder机制中的 ServiceManagerBinder驱动,在这一节中,我们来介绍Native中的Binder通讯。

        为了更好的理解过程,我们挑选Native中的MediaServer进行分析。


一、MediaServer加载过程

        Android启动过程中会去执行init.rc脚本,在这个脚本中将会启动一些关键的系统服务,其中之一就是MediaServer: 
    @init.rc(google-code\system\core\rootdir\init.rc)
    service media /system/bin/mediaserver
        class main
        user media
        group audio camera inet net_bt net_bt_admin net_bw_acct drmrpc
        ioprio rt 4
        这个脚本包含了几个重要信息:
        1、需要启动一个media的service,路径在/system/bin/mediaserver
        2、该服务的入口函数为main
        3、该服务运行在media的用户名下
        4、该服务属于以下组:audio camera inet等
        这些信息中,我们只关心service的名字(mediaserver)和入口函数(main),那么这个服务的入口函数究竟在那个文件里面呢?
        我们打开mediaserver模块,在模块的Android.mk文件中找到了这个Service的加载信息: 
    @Android.mk(google-code\frameworks\av\media\mediaserver\)
    LOCAL_PATH:= $(call my-dir)
    include $(CLEAR_VARS)
    LOCAL_SRC_FILES:= main_mediaserver.cpp 
    LOCAL_MODULE:= mediaserver
        在这个脚本中,将main_mediaserver.cpp加载为mediaserver模块,因此,main_mediaserver.cpp文件就是我们要找的入口文件,而这个文件中的main函数就是我们要找的入口函数: 
    @main_mediaserver.cpp
    int main(int argc, char** argv) {
        sp<ProcessState> proc(ProcessState::self());
        //得到ServiceManager
        sp<IServiceManager> sm = defaultServiceManager();
        //三个Service自身的初始化
        AudioFlinger::instantiate();
        MediaPlayerService::instantiate();
        CameraService::instantiate();
        AudioPolicyService::instantiate();
        ProcessState::self()->startThreadPool();
        IPCThreadState::self()->joinThreadPool();
    }

        下面我们就来详细看一下整个Service启动的流程。


二、ProcessState的初始化

        我们先来分析main中的第一步,也就是ProcessState::self()的过程。 
    @ProcessState.cpp(google-code\frameworks\native\libs\binder\)
    sp<ProcessState> ProcessState::self() {
        if (gProcess != NULL) return gProcess;

        AutoMutex _l(gProcessMutex);
        if (gProcess == NULL) gProcess = new ProcessState;
        return gProcess;
    }
        这里我们看到, ProcessState是一个单例模式,所有的进程共享同一个ProcessState对象。如果初始化过了(gProcess!=NULL),就直接返回给客户端使用即可,没有的话需要创建ProcessState对象。这里我们假设当前没有被初始化过,那么就会调用他的构造函数: 
    ProcessState::ProcessState()
        : mDriverFD(open_driver())
        , mVMStart(MAP_FAILED)
        , mManagesContexts(false)
        , mBinderContextCheckFunc(NULL)
        , mBinderContextUserData(NULL)
        , mThreadPoolStarted(false)
        , mThreadPoolSeq(1) 
    {
        if (mDriverFD >= 0) {
            //映射内存
            mVMStart = mmap(0, BINDER_VM_SIZE, PROT_READ, MAP_PRIVATE | MAP_NORESERVE, mDriverFD, 0);
            if (mVMStart == MAP_FAILED) {
                close(mDriverFD);
                mDriverFD = -1;
            }
        }
    }
        在他的初始化过程中,主要完成了两个重要步骤:
        1、 通过open_driver打开binder驱动,并把binder设备句柄传给mDriverFD
        2、 通过mmap()将一块内核地址映射到用户空间,作为buffer传输数据

        由此,就完成了ProcessState的初始化工作。


三、得到ServiceManager代理对象的过程

        main函数的下一个动作就是要得到ServiceManager的对象: 
        sp<IServiceManager> sm = defaultServiceManager();
        那么是如何得到ServiceManager对象呢?得到的对象就是ServiceManager本身吗?我们从代码中找答案。 
    @IServiceManager.cpp(google-code\frameworks\native\libs\binder\)
    sp<IServiceManager> defaultServiceManager() {
        if (gDefaultServiceManager != NULL) return gDefaultServiceManager;
        AutoMutex _l(gDefaultServiceManagerLock);
        if (gDefaultServiceManager == NULL) {
            //得到ServiceManager
            gDefaultServiceManager = interface_cast<IServiceManager>( ProcessState::self()->getContextObject(NULL));
        }
        return gDefaultServiceManager;
    }
        这里我们发现,defaultServiceManager()也是单例模式,就是说,如果其他Service已经申请到了ServiceManager,其他Service就可以直接使用,这里我们假设是第一次申请,那么就要通过下面方法申请: 
        gDefaultServiceManager = interface_cast<IServiceManager>( ProcessState::self()->getContextObject(NULL));
        这个步骤稍微复杂,我们拆开分析: 
        ProcessState::self()->getContextObject(NULL)
        interface_cast<IServiceManager>()

        上面第一步可以得到ServiceManager的BpBinder对象,第二步把得到的BpBinder对象转换为IServiceManager对象,下面我们逐步分析这两个过程。

3.1、得到ServiceManager的BpBinder对象

        ProcessState::self()->getContextObject(NULL)
        在第二节中我们介绍过,ProcessState::self()的过程就是完成ProcessState的初始化,然后返回ProcessState对象,因此,上面的代码相当于: 
        ProcessState->getContextObject(NULL);
        我们来看这个过程: 
    @ProcessState.cpp
    sp<IBinder> ProcessState::getContextObject(const sp<IBinder>& caller) {
        return getStrongProxyForHandle(0);
    }
        继续看getStrongProxyForHandle(),记住,传递下去的参数为0: 
    sp<IBinder> ProcessState::getStrongProxyForHandle(int32_t handle) {
        sp<IBinder> result;
        //从数组中查找handle_entry,不存在的话就创建一个
        handle_entry* e = lookupHandleLocked(handle);
        if (e != NULL) {
            IBinder* b = e->binder;
            if (b == NULL || !e->refs->attemptIncWeak(this)) {
                //new一个BpBinder返回给调用者
                b = new BpBinder(handle); 
                e->binder = b;
                if (b) e->refs = b->getWeakRefs();
                result = b;
            } else {
                result.force_set(b);
                e->refs->decWeak(this);
            }
        }
        return result;
    }
        在这一步中,要先通过lookupHandleLocked()去查找当前handle的handle_entry对象,如果没有找到的话就会创建一个handle_entry,用于后续的Service使用,而且新建的handle_entry的binder变量为空,当前我们假设得到的就是新建的handle_entry对象,那么由于其e->binder为空,因此将会new一个BpBinder的对象作为其binder变量。
        这样一来,getStrongProxyForHandle()所返回的result就相当于我们刚刚new出来的BpBinder对象: 
    sp<IBinder> ProcessState::getStrongProxyForHandle(int32_t handle) {
        return new BpBinder(handle); 
    }
        也就是说, 我们通过getStrongProxyForHandle()得到的就是BpBinder对象,不仅如此,而且我们得到的是 handle为0的BpBinder对象
        由此我们知道,通过: 
        ProcessState::self()->getContextObject(NULL)
        我们得到的是BpBinder(0)的对象。

        下面我们来看如何将这个对象转换为ServiceManager对象。

3.2、得到ServiceManager的BpServiceManager对象

        经过3.1的分析,我们可以将第三节中的: 
        gDefaultServiceManager = interface_cast<IServiceManager>( ProcessState::self()->getContextObject(NULL));
        转换为: 
        gDefaultServiceManager = interface_cast<IServiceManager>(BpBinder(0));
        下面我们来分析interface_cast是如何将BpBinder对象进行转换的。

3.2.1、函数模版转换

        我们先来看一下这个函数模版: 
    @IInterface.h(google-code\frameworks\native\include\binder\)
    template<typename INTERFACE>
    inline sp<INTERFACE> interface_cast(const sp<IBinder>& obj)
    {
        return INTERFACE::asInterface(obj);
    }
        这里要补充一下函数模版的知识。上面这个函数组成了一个标准的函数模版功能。
            首先,他表示一个函数,这个函数名就叫interface_cast,参数必须是const类型的IBinder指针。
            其次,既然是“模版”,就说明他只提供了一个框架(或者一种形式),可以适应多种环境调用。
        具体来说就是, 这个函数名叫interface_cast,调用这个函数必须传递进来一个IBinder的指针,但是他的返回值可以是不固定的,是根据传递进来的INTERFACE而定的。同时,返回值的具体值就是INTERFACE::asInterface(obj)。
        结合上面的代码来说,下面的语句: 
        gDefaultServiceManager = interface_cast<IServiceManager>(BpBinder(0));
        其实包含了4个信息:
            1、调用名叫interface_cast函数模版
            2、模版参数为IServiceManager
            3、函数参数为BpBinder(0)
            4、返回值赋值给了gDefaultServiceManager
        这样一来,这个函数模版就相当于: 
    sp<IServiceManager> interface_cast(const sp<IBinder>& obj)
    {
        return IServiceManager::asInterface(obj);
    }
        这里要求asInterface的参数obj是IBinder,而我们前面分析过我们得到的BpBinder对象就是IBinder类型的ServiceManager。因此,当初的: 
        gDefaultServiceManager = interface_cast<IServiceManager>(BpBinder(0));
        将会等价于: 
        gDefaultServiceManager = IServiceManager::asInterface(BpBinder(0));
        下面我们来看IServiceManager的asInterface()函数。

3.2.2、IServiceManager的asInterface函数

        在IServiceManager.cpp中我们并没有找到asInterface函数,但是在IServiceManager.h中却找到了一个宏控: 
    @IServiceManager.h
    class IServiceManager : public IInterface {
        DECLARE_META_INTERFACE(ServiceManager);
    };
        我们查看这个宏控的定义: 
    @IInterface.h(google-code\frameworks\native\include\binder\)
    #define DECLARE_META_INTERFACE(INTERFACE)                               \
            static const android::String16 descriptor;                          \
            static android::sp<I##INTERFACE> asInterface(                       \
                const android::sp<android::IBinder>& obj);                  \
            virtual const android::String16& getInterfaceDescriptor() const;    \
            I##INTERFACE();                                                     \
            virtual ~I##INTERFACE();
        这是一个宏定义可以看出,其中的asInterface()函数被宏定义为了: 
        static android::sp<I##INTERFACE> asInterface(const android::sp<android::IBinder>& obj);
        替换掉INTERFACE可以得到: 
        static android::sp<IServiceManager> asInterface(const android::sp<android::IBinder>& obj);
        也就是说,这段宏声明了asInterface函数,但是asInterface的定义呢? 
    #define IMPLEMENT_META_INTERFACE(INTERFACE, NAME)                       \
        const android::String16 I##INTERFACE::descriptor(NAME);             \
        const android::String16&                                            \
                I##INTERFACE::getInterfaceDescriptor() const {              \
            return I##INTERFACE::descriptor;                                \
        }                                                                   \
        android::sp<I##INTERFACE> I##INTERFACE::asInterface(                \
                const android::sp<android::IBinder>& obj)                   \
        {                                                                   \
            android::sp
最低0.47元/天 解锁文章
工程师阿杜
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
《深入理解Android:卷I》试读本
10-12
内容广泛,以对Framework分析为主,兼顾Native和Application分析深入,每一部分源代码的分析都力求透彻;针对性强,注重实际应用开发需求,书中所涵盖的知识点都是Android应用开发者和系统开发者需要重点...
Native如何使用sqlite数据库
悟心的专栏
12-13 543
二、将sqlite源码中的sqlite3.c和sqlite3.h加入工程,并添加到CMakeLists.txt,就可以使用sqlite数据库了。三、调用sqlite的接口进行数据库的创建、数据的添加和查询。四、如果执行成功,则会打印"id=100,name=hyh"。下载sqlite源码
Android基础进阶 - 消息机制 之Native分析
yabin的专栏
06-13 682
目录 基础知识简介 Linux eventfd事件等待/响应机制 Linux IO多路复用epoll Android消息机制Native分析 nativeInit流程 nativePollOnce流程 nativeWake流程 资料 收获 上一篇中关于ThreadLocal的使用,遗漏了一个点:ThreadLocal的回收,使用不当会操作内存泄漏。通过上一篇的分析我们知道了ThreadLocalMap.Entry中的key时ThreadLocal的弱引用,而value需要在
Android Binder解密(附源码解析)
bugyinyin的博客
02-13 1225
Android开发中,我们经常听到一个词:Binder。对于很多开发者来说,Binder可能是一个神秘而强大的东西,像一个魔法门一样。那么,这个“魔法门”到底是什么呢?
app安全之安卓native安全分析(一):frida 与unidbg
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-18 1482
这个专题是根据龙哥的unidbg博客的案例,核心部分会借鉴龙哥的unidbg,通过借鉴大佬的思路,完整的分析某个so的加密参数各位朋友也可以直接读龙哥的博客,我只是用我的角度进一步加工一下SO入门实战教程一:OASIS_so学习路线_白龙~的博客-CSDN博客unidbg 是一个基于 unicorn 的安全分析工具,可以实现黑盒调用安卓和 iOS 中的 so 文件unidbg是凯神写的一个开源的java项目。
Android基础进阶 - 消息机制 之Native分析,资深Android开发带你入门Framework
最新发布
2401_83974020的博客
03-30 642
由于文章篇幅因,我只把面试题列了出来,详细的答案,我整理成了一份PDF文档,这份文档还包括了还有高级架构技术进阶脑图、Android开发面试专题资料,高级进阶架构资料 ,帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习。化!**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新如果你觉得这些内容对你有帮助,可以添加V获取:vip204888 (备注Android
andrid分的概念------native
ffmxnjm的博客
08-23 1万+
Android的分4,java应用程序,java框架,本地框架和java运行环境,Linux内核空间 Java应用程序无需过多解释,基本可以理解为各个App,由Java语言实现。 Java框架(系统服务)就是常说的Framework,这里东西很多也很复杂,比如说主要的一些系统服务如ActivityManagerService、PackageManagerService等,我们编写的An
app安卓逆向之native代码静态分析基础
weixin_43900244的博客
06-24 4109
app安卓逆向之Native代码静态分析基础Native代码静态分析1.背景分析2.概述3.开始3.1 ARM指令3.2 IDA基本使用方法3.3 Java调用Native方法理3.4 Native代码的修改3.5 So文件替换4.总结 Native代码静态分析 1.背景分析 在安卓逆向的过程当中会遇到以下场景 经过上一阶段的Java代码静态分析以及动态调试,发现加密参数的生成方法调用了Native方法 经过对Native代码分析后修改对应代码,替换so文件发现app运行异常 针对
深入学习Android framework(2)——Handler Native
一个码农的博客
06-30 4349
基于android28源码,MessageQueue类里面涉及到多个native方法,除了MessageQueue的native方法,native本身也有一套完整的消息机制,用于处理native的消息,如下图Native的消息机制。 Java可以向MessageQueue消息队列中添加消息,Native也可以向MessageQueue消息队列中添加消息 MessageQueue 初始化过程的调用链如下: 在MessageQueue中的native方法如下: private native st
深入理解 Handler(java + native
Lud的博客
02-14 1821
线程消息队列时怎样实现的 消息是怎么传递的? Handle 的延迟消息是怎么处理的? IdleHandler理 主线程进入了 Looper 循环为什么没有 ANR? 消息屏障是什么?
java naive方法_什么是Native方法
weixin_39607474的博客
02-13 622
一. 什么是Native Method简单地讲,一个Native Method就是一个java调用非java代码的接口。一个Native Method是这样一个java的方法:该方法的实现由非java语言实现,比如C。这个特征并非java所特有,很多其它的编程语言都有这一机制,比如在C++中,你可以用extern "C"告知C++编译器去调用一个C的函数。 "A native method is ...
基于socket的Native守护进程
01-21
这是基于socket连接来判断服务是否存在的一个守护进程。使用方法: NDKFork port 包名/.服务名 被守护的服务需要创建一个监听socket 其它保活方案的测试情况可以看我的测试总结: http://blog.csdn.net/pvlking/article/details/50503803
深入理解Android++卷1pdf电子书
05-31
内容广泛,以对Framework分析为主,兼顾Native和Application分析深入,每一部分源代码的分析都力求透彻;针对性强,注重实际应用开发需求,书中所涵盖的知识点都是Android应用开发者和系统开发者需要重点...
Android 代码分析
03-30
26 Android IPC 通讯机制源码分析 73 26.1 Binder通信简介: 73 26.1.1. ServiceMananger进程注册过程源码分析: 74 26.1.2. client获取remote IServiceManager IBinder接口: 75 26.1.3. client获取Service的远程...
深入理解Android
01-29
内容广泛,以对Framework分析为主,兼顾Native和Application分析深入,每一部分源代码的分析都力求透彻;针对性强,注重实际应用开发需求,书中所涵盖的知识点都是Android应用开发者和系统开发者需要重点...
《深入理解Android》卷Ⅰ
04-30
2.3 Java的MediaScanner分析 2.3.1 加载JNI库 2.3.2 Java的native函数和总结 2.4 JNIMediaScanner分析 2.4.1 注册JNI函数 2.4.2 数据类型转换 2.4.3 JNIEnv介绍 2.4.4 通过JNIEnv操作jobject 2.4.5 jstring...
利用ADB Root权限破解锁屏密码(
热门推荐
阿杜的专栏
08-20 5万+
本文主要介绍Android ENG版本以及Root授权过ADB进程的手机解锁方法。 一、破解方法 1.1、破解条件         该方法适用范围较为特殊,分为两种:         1、手机是ENG版本。         2、手机被ROOT,并且ADB可以直接升级为ROOT用户。         第一种情况一般出现在某些工程机中,而第二种情况往往是手机被Roo
Framework中的连接管理机制(
阿杜的专栏
09-21 1万+
上一节《Wifi服务框架介绍》介绍了WIFI的大致框架,本文主要介绍连接管理中的几个重要角色,包括:NetworkInfo、NetworkAgent、ConnectivityService、ConnectivityManager等。         为了便于讨论,本文选取一个具体问题展开分析,那就是:当当前的网络连接变为不可用时,系统如何自动切换其他可用的网络连接的。         我们知道
Android运营商名称显示之PLMN的读取(
阿杜的专栏
02-17 1万+
Plmn的全称是Public Land Mobile Network(公共陆地移动网络),而在运营商显示方面主要是指当前SIM所驻留的网络,比如当中国移动的SIM(46000)如果漫游到联通的网络(46001),那么虽然当前的SIM是中国移动,但是他的Plmn就应该是中国联通。         也就是说,Plmn的名称与当前驻留的网络相关。         那么Plmn的来源是什么呢?
android binder源码分析
10-07
Binder源码主要位于frameworks/native目录下。 在Binder源码中,最核心的部分是Binder驱动和Binder服务。Binder驱动是位于内核空间的组件,负责处理进程间的数据传输和交互。Binder服务是位于用户空间的组件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值