2. 程式人生 > >Android之IPC5————Binder2 Native層分析

Android之IPC5————Binder2 Native層分析

阿新 發佈:2019-01-08

Android之IPC5————Binder2 Native層分析

文章目錄

一.前言

在上一篇裡,我們介紹了binder機制的簡單介紹,以及binder核心,ServiceManager的啟動。
在上一篇也簡單提過,ServiceManager的作用,即註冊服務,和獲取服務。
在這裡插入圖片描述


在這一篇中,我們中 主要分析native層,主要分析其註冊服務和獲取服務的過程,大致流程就是獲取BpServiceManager,通過它來和Binder驅動進行通訊,ServiceManager在死迴圈中讀寫事物,對註冊服務和獲取服務進行處理,並將結果返回給Binder驅動,binder驅動在將結果返回給客戶端或服務端。

本篇文章主要以下面幾個方面展開:

  • 獲取BpServiceManager
  • Native層的註冊服務和獲取服務
  • Binder核心中的註冊服務和獲取服務
  • ServiceManager中的註冊服務和獲取服務的

二.獲取BpServiceManager

1.概述

BpServiceManagerton通過介面IServiceManager實現了介面中的業務邏輯函式(獲取服務,註冊服務),並通過成員變數mRemote= new BpBinder(0)進行Binder通訊工作

獲取BpServiceManager是通過defaultServiceManager()方法來完成,當程序註冊服務(addService)或 獲取服務(getService)的過程之前,都需要先呼叫defaultServiceManager()方法來獲取gDefaultServiceManager物件。對於gDefaultServiceManager物件,如果存在則直接返回;如果不存在則建立該物件

sp<IServiceManager> defaultServiceManager()
{
    if (gDefaultServiceManager != NULL) return gDefaultServiceManager;
    {
        AutoMutex _l(gDefaultServiceManagerLock); //加鎖
        while (gDefaultServiceManager == NULL) {
         
            gDefaultServiceManager = interface_cast<IServiceManager>(
                ProcessState::self()->getContextObject(NULL));
            if (gDefaultServiceManager == NULL)
                sleep(1);
        }
    }
    return gDefaultServiceManager;
}

上面就是獲取BpServiceManager的過程

gDefaultServiceManager = interface_cast<IServiceManager>(
                ProcessState::self()->getContextObject(NULL));

上面這行程式碼就是關鍵程式碼,分為3步,即

  • ProcessState::self(),獲取ProcessState物件,也是單例
  • getContextObject:獲取BpBinder,對於handle = 0的BpBinder物件,存在直接返回,否則建立
  • 獲取BpServiceManager物件

2.獲取ProcessState物件

sp<ProcessState> ProcessState::self()
{
    Mutex::Autolock _l(gProcessMutex);
    if (gProcess != NULL) {
        return gProcess;
    }

    //例項化ProcessState 【見小節2.2】
    gProcess = new ProcessState;
    return gProcess;
}

獲取ProcessState物件,也是單例模式.

ProcessState的初始化

ProcessState::ProcessState()
    : mDriverFD(open_driver()) // 開啟Binder驅動【見小節2.3】
    , mVMStart(MAP_FAILED)
    , mThreadCountLock(PTHREAD_MUTEX_INITIALIZER)
    , mThreadCountDecrement(PTHREAD_COND_INITIALIZER)
    , mExecutingThreadsCount(0)
    , mMaxThreads(DEFAULT_MAX_BINDER_THREADS)
    , mManagesContexts(false)
    , mBinderContextCheckFunc(NULL)
    , mBinderContextUserData(NULL)
    , mThreadPoolStarted(false)
    , mThreadPoolSeq(1)
{
    if (mDriverFD >= 0) {
        //採用記憶體對映函式mmap,給binder分配一塊虛擬地址空間,用來接收事務
        mVMStart = mmap(0, BINDER_VM_SIZE, PROT_READ, MAP_PRIVATE | MAP_NORESERVE, mDriverFD, 0);
        if (mVMStart == MAP_FAILED) {
            close(mDriverFD); //沒有足夠空間分配給/dev/binder,則關閉驅動
            mDriverFD = -1;
        }
    }

在初始化時開啟Binder裝置,並設定binder支援的最大執行緒數,之後再使用mmap分配記憶體。

3.獲取BpBinder物件

sp<IBinder> ProcessState::getContextObject(const sp<IBinder>& /*caller*/)
{
    return getStrongProxyForHandle(0);  
}

獲取handle = 0的IBinder。

sp<IBinder> ProcessState::getStrongProxyForHandle(int32_t handle)
{
    sp<IBinder> result;

    AutoMutex _l(mLock);
    //查詢handle對應的資源項
    handle_entry* e = lookupHandleLocked(handle);

    if (e != NULL) {
        IBinder* b = e->binder;
        if (b == NULL || !e->refs->attemptIncWeak(this)) {
            if (handle == 0) {
                Parcel data;
                //通過ping操作測試binder是否準備就緒
                status_t status = IPCThreadState::self()->transact(
                        0, IBinder::PING_TRANSACTION, data, NULL, 0);
                if (status == DEAD_OBJECT)
                   return NULL;
            }
            //當handle值所對應的IBinder不存在或弱引用無效時,則建立BpBinder物件
            b = new BpBinder(handle);
            e->binder = b;
            if (b) e->refs = b->getWeakRefs();
            result = b;
        } else {
            result.force_set(b);
            e->refs->decWeak(this);
        }
    }
    return result;
}

4.獲取BpServiceManager

template<typename INTERFACE>
inline sp<INTERFACE> interface_cast(const sp<IBinder>& obj)
{
    return INTERFACE::asInterface(obj); 
}

在原始碼中INTERFACE::asInterface(obj)使用巨集的模的模擬程式碼。直接寫出替換後的程式碼

const android::String16 IServiceManager::descriptor(“android.os.IServiceManager”);

const android::String16& IServiceManager::getInterfaceDescriptor() const
{
     return IServiceManager::descriptor;
}

 android::sp<IServiceManager> IServiceManager::asInterface(const android::sp<android::IBinder>& obj)
{
       android::sp<IServiceManager> intr;
        if(obj != NULL) {
           intr = static_cast<IServiceManager *>(
               obj->queryLocalInterface(IServiceManager::descriptor).get());
           if (intr == NULL) {
               intr = new BpServiceManager(obj);  
            }
        }
       return intr;
}

IServiceManager::IServiceManager () { }
IServiceManager::~ IServiceManager() { }

所有說IServiceManager::asInterface() 等價於 new BpServiceManager()。

接下來看BpServiceManager的初始化

BpServiceManager(const sp<IBinder>& impl)
    : BpInterface<IServiceManager>(impl)
{    }

BpInterface的初始化

inline BpInterface<INTERFACE>::BpInterface(const sp<IBinder>& remote)
    :BpRefBase(remote)
{    }

BpRefBase的初始化

BpRefBase::BpRefBase(const sp<IBinder>& o)
    : mRemote(o.get()), mRefs(NULL), mState(0)
{
    extendObjectLifetime(OBJECT_LIFETIME_WEAK);

    if (mRemote) {
        mRemote->incStrong(this);
        mRefs = mRemote->createWeak(this);
    }
}

new BpServiceManager(),在初始化過程中,比較重要工作的是類BpRefBase的mRemote指向new BpBinder(0),從而BpServiceManager能夠利用Binder進行通過通訊。

5.總結

defaultServiceManager 等價於 new BpServiceManager(new BpBinder(0));

在這個過程中:

  • 呼叫open(),開啟/dev/binder驅動裝置;
  • 再利用mmap(),建立大小為1M-8K的記憶體地址空間;
  • 設定當前程序最大的最大併發Binder執行緒個數為16
  • BpBinder通過handler來指向所對應BBinder, 在整個Binder系統中handle=0代表ServiceManager所對應的BBinder。

三.Native層的註冊服務和獲取服務

1.服務註冊

我們以media服務註冊為例

int main(int argc __unused, char** argv)
{
    ...
    InitializeIcuOrDie();
    //獲得ProcessState例項物件
    sp<ProcessState> proc(ProcessState::self());
    //獲取BpServiceManager物件
    sp<IServiceManager> sm = defaultServiceManager();
    AudioFlinger::instantiate();
    //註冊多媒體服務  
    MediaPlayerService::instantiate();
    ResourceManagerService::instantiate();
    CameraService::instantiate();
    AudioPolicyService::instantiate();
    SoundTriggerHwService::instantiate();
    RadioService::instantiate();
    registerExtensions();
    //啟動Binder執行緒池
    ProcessState::self()->startThreadPool();
    //當前執行緒加入到執行緒池
    IPCThreadState::self()->joinThreadPool();
 }

上面是native層中media服務註冊的過程。
分為下面幾個過程:

  • 獲取ProcessState物件
  • 獲取ServiceManager物件
  • 註冊服務
  • 啟動binder執行緒池
  • 加入到執行緒池

在這其中,獲取ProcessState物件和獲取ServiceManager物件的過程,在上一小節。

我們主要來看其註冊服務的過程。

void MediaPlayerService::instantiate() {
    //註冊服務
    defaultServiceManager()->addService(String16("media.player"), new MediaPlayerService());
}

由上一小節可知 defaultServiceManager()返回的是BpServiceManager,所以相當於bpServiceManager呼叫addService。

BpSM.addService

virtual status_t addService(const String16& name, const sp<IBinder>& service, bool allowIsolated) {
    Parcel data, reply; //Parcel是資料通訊包
    //寫入頭資訊"android.os.IServiceManager"
    data.writeInterfaceToken(IServiceManager::getInterfaceDescriptor());   
    data.writeString16(name);        
    // name為 "media.player"
    data.writeStrongBinder(service); 
    // MediaPlayerService物件
    data.writeInt32(allowIsolated ? 1 : 0);
    // allowIsolated= false
    //remote()指向的是BpBinder物件
    status_t err = remote()->transact(ADD_SERVICE_TRANSACTION, data, &reply);
    return err == NO_ERROR ? reply.readExceptionCode() : err;
}

可以看到,在addService中將Service物件和Service名都寫入了data中。

之後呼叫BpBinder物件的transact方法。

2.獲取服務

上面是media在native層註冊服務的過程,下面介紹一下madia服務被獲取的過程

sp<IMediaPlayerService>&
IMediaDeathNotifier::getMediaPlayerService()
{
    Mutex::Autolock _l(sServiceLock);
    if (sMediaPlayerService == 0) {
        sp<IServiceManager> sm = defaultServiceManager(); //獲取ServiceManager
        sp<IBinder> binder;
        do {
            //獲取名為"media.player"的服務
            binder = sm->getService(String16("media.player"));
            if (binder != 0) {
                break;
            }
            usleep(500000); // 0.5s
        } while (true);

        if (sDeathNotifier == NULL) {
            sDeathNotifier = new DeathNotifier(); //建立死亡通知物件
        }

        //將死亡通知連線到binder 
        binder->linkToDeath(sDeathNotifier);
        sMediaPlayerService = interface_cast<IMediaPlayerService>(binder);
    }
    return sMediaPlayerService;
}

上面的程式碼就是請求獲取為”media.player”的服務過程中,採用不斷獲取的過程。

也是先獲BpServiceManager,然後呼叫BpServiceManager的getService方法。

來看其獲取服務的程式碼

virtual sp<IBinder> getService(const String16& name) const
    {
        unsigned n;
        for (n = 0; n < 5; n++){
            sp<IBinder> svc = checkService(name); //見下
            if (svc != NULL) return svc;
            sleep(1);
        }
        return NULL;
    }

通過ServiceManager來獲取服務,檢索服務是否存在,存在直接返回,不存在時。暫停1s後,繼續請求。最多5次

繼續來看checkService(name)過程

virtual sp<IBinder> checkService( const String16& name) const
{
    Parcel data, reply;
    //寫入RPC頭
    data.writeInterfaceToken(IServiceManager::getInterfaceDescriptor());
    //寫入服務名
    data.writeString16(name);
    remote()->transact(CHECK_SERVICE_TRANSACTION, data, &reply); //見下
    return reply.readStrongBinder(); //見下
}

可以看出了獲取服務和註冊服務一樣,最終都呼叫了Bpdineder的transact。

3.註冊服務中writeStrongBinder(service)

在註冊服務中,將Service傳入writeStrongBinder中

  data.writeStrongBinder(service);

data是Parcel類。

status_t Parcel::writeStrongBinder(const sp<IBinder>& val)
{
    return flatten_binder(ProcessState::self(), val, this);
}

status_t flatten_binder(const sp<ProcessState>& /*proc*/,
    const sp<IBinder>& binder, Parcel* out)
{
    flat_binder_object obj;

    obj.flags = 0x7f | FLAT_BINDER_FLAG_ACCEPTS_FDS;
    if (binder != NULL) {
        IBinder *local = binder->localBinder(); //本地Binder不為空
        if (!local) {
            BpBinder *proxy = binder->remoteBinder();
            const int32_t handle = proxy ? proxy->handle() : 0;
            obj.type = BINDER_TYPE_HANDLE;
            obj.binder = 0;
            obj.handle = handle;
            obj.cookie = 0;
        } else { //進入該分支
            obj.type = BINDER_TYPE_BINDER;
            obj.binder = reinterpret_cast<uintptr_t>(local->getWeakRefs());
            obj.cookie = reinterpret_cast<uintptr_t>(local);
        }
    } else {
        ...
    }
   
    return finish_flatten_binder(binder, obj, out);
}

將Binder物件扁平化,轉換成flat_binder_object物件。

  • 對於Binder實體,則cookie記錄Binder實體的指標;並且其型別為BINDER_TYPE_HANDLE
  • 對於Binder代理,則用handle記錄Binder代理的控制代碼,並且其型別為BINDER_TYPE_BINDER;

4.獲取服務的readStrongBinder()

在獲取服務中,最後返回的是:

return reply.readStrongBinder();

和data一樣,reply也是Parcel類。

sp<IBinder> Parcel::readStrongBinder() const
{
    sp<IBinder> val;
    unflatten_binder(ProcessState::self(), *this, &val);
    return val;
}

呼叫了 unflatten_binder

status_t unflatten_binder(const sp<ProcessState>& proc, const Parcel& in, sp<IBinder>* out) {
    const flat_binder_object* flat = in.readObject(false);
    if (flat) {
        switch (flat->type) {
            case BINDER_TYPE_BINDER:
               // 當請求服務的程序與服務屬於同一程序
                *out = reinterpret_cast<IBinder*>(flat->cookie);
                return finish_unflatten_binder(NULL, *flat, in);
            case BINDER_TYPE_HANDLE:
                //請求服務的程序與服務屬於不同程序
                *out = proc->getStrongProxyForHandle(flat->handle);
                //建立BpBinder物件
                return finish_unflatten_binder(
                    static_cast<BpBinder*>(out->get()), *flat, in);
        }
    }
    return BAD_TYPE;
}

5.BpBinder.transact

status_t err = remote()->transact(ADD_SERVICE_TRANSACTION, data, &reply);

在註冊服務和獲取服務中,最終都呼叫了上面這行程式碼。即BpBinder.transact方法。

BpBinder.transact

status_t BpBinder::transact(
    uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags)
{
    if (mAlive) {
        // code=ADD_SERVICE_TRANSACTION
        status_t status = IPCThreadState::self()->transact(
            mHandle, code, data, reply, flags);
        if (status == DEAD_OBJECT) mAlive = 0;
        return status;
    }
    return DEAD_OBJECT;
}

可以看出在 BpBinder::transact中最終呼叫的是IPCThreadState::self()->transact方法。

先來看看IPCThreadState的初始化過程和self過程

6. IPCThreadState的初始化

初始化:

IPCThreadState::IPCThreadState()
    : mProcess(ProcessState::self()),
      mMyThreadId(gettid()),
      mStrictModePolicy(0),
      mLastTransactionBinderFlags(0 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
AndroidIPC5————Binder2 Native分析

     
  
 
  
  
 Android之IPC5————Binder2 Native層分析 
 
 
  文章目錄
  
   Android之IPC5————Binder2 Native層分析
   
    
     一.前言
     二.獲取BpServiceManager
     
      1 



  
 

    


    
    
AndroidIPC6————Binder3 Framework分析

     
  
 
  
  
 Android之IPC6————Binder3 Framework層分析 
 
 
  文章目錄
  
   Android之IPC6————Binder3 Framework層分析
   
    
     一.概述
     二.BinderJNI初始化
     
      1 



  
 

    


    
    
Android平臺上的Native記憶體分析

     
 
							
							
							
背景
UE4遊戲在Android上的程序記憶體佔用(PSS)很讓人困惑, 沒有一個清晰直觀的方式可以統計到每一部分的記憶體佔用. 所以在做記憶體分析的過程中順手做了一個統計工具, 可以從系統底層統計UE4在Android的所有記憶體分配(包括Graphics部 



  
 

    


    
    
androidMTP框架和流程分析

     
 

 1 static void android_mtp_MtpServer_add_storage(JNIEnv *env, jobject thiz, jobject jstorage)
 2 {
 3     Mutex::Autolock autoLock(sMutex);
 4 
 5      



  
 

    


    
    
Android MTP框架和流程分析 (3)

     
 
                

前面轉發了篇部落格介紹了MTP, 偏重於上層,已經很清楚了。這篇側重於底層,按照一定的流程講。

1. 程式碼位置
packages/providers/MediaProvider/src/com/android/providers/media/MtpReceiver.j 



  
 

    


    
    
AndroidActivity的框架原理分析

     
 
                

這一側的Layer物件,而操作Layer物件的目的就是為了修改Activity元件的UI。

        在前面Android應用程式與SurfaceFlinger服務的關係概述和學習計劃和Android系統Surface機制的SurfaceFlinger服務簡要介紹 



  
 

    


    
    
Android MTP框架和流程分析

     
 

 1 static void android_mtp_MtpServer_add_storage(JNIEnv *env, jobject thiz, jobject jstorage)
 2 {
 3     Mutex::Autolock autoLock(sMutex);
 4 
 5      



  
 

    


    
    
android 背光控制 HAL分析

     
 
                

lights.c
/*
 * Copyright (C) 2008 The Android Open Source Project
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 



  
 

    


    
    
Android Framework 分析---2消息機制Native

     
 jnienv   car   下一個   sas   tracking   zed   高效   方法   java   

在Android的消息機制中。不僅提供了供Application 開發使用的java的消息循環。事實上java的機制終於還是靠native來實現的。在native不僅提供一套消息傳 



  
 

    


    
    
Android Fk: PKMS(3)installd及LocalSocket實現JavaNative通訊

     
  
  
  
 LOCAL_CLANG := true#Android Fk: PKMS(3)之installd及LocalSocket實現Java層與Native層通訊 
 一、installd的概述 
   從上一篇介紹應用安裝與解除安裝的學習文件中知道PKMS在實現部分包管理功能時需要藉助instal 



  
 

    


    
    
Android開發————分析Native記憶體洩漏

     
 
							
							
							Android開發——使用DDMS分析Native層記憶體洩漏

針對Java層的記憶體洩漏,Android提供了方便的記憶體洩漏檢測工具,例如MAT、LeakCanary。但對於native層開發,要追查C/C++程式碼的記憶體洩漏,valgrind等常用工具 



  
 

    


    
    
Android逆向旅---Native的Hook神器Cydia Substrate使用詳解

     
 
一、前言在之前已經介紹過了Android中一款hook神器Xposed,那個框架使用非常簡單,方法也就那幾個,其實最主要的是我們如何找到一個想要hook的應用的那個突破點。需要逆向分析app即可。不瞭解Xposed框架的同學可以檢視:Android中hook神器Xposed使用詳解;關於hook使用以及原理 



  
 

    


    
    
Android NativeBinder.transact()函式呼叫 Binder.onTransact() 函式失敗分析

     
 
							
							
							Q:Android Native層Binder.transact()函式呼叫 Binder.onTransact() 函式失敗?

在Android Native層呼叫Camera.h中的api實現一個截圖功能的應用時,發現通過gCamera->setLi 



  
 

    


    
    
Android服務bindService源代碼分析

     
 font   state   them   成功   ear   pack   exc   方法   直接   
                            
                        
上一篇分析startService時沒有畫出調用ActivityManagerServi 



  
 

    


    
    
Android架構師路 網絡架構設計與實戰

     
 安卓 第1章 課前須知介紹如何去學習,課程適合的人群、怎麽才能融會貫通第2章 主流網絡框架分析常用網絡框架介紹,分析volley 、Android-async-http、Afinal框架、xUtils、okhttp、retrofit、優有點缺點、教會選擇一個框架的標準是什麽?第3章 http協議詳解介紹htt 



  
 

    


    
    
Android與JSJsBridge使用與原始碼分析

     
  
 
 在Android開發中,由於Native開發的成本較高,H5頁面的開發更靈活,修改成本更低,因此前端網頁JavaScript(下面簡稱JS)與Java之間的互相呼叫越來越常見。 
 JsBridge就是一個簡化Android與JS通訊的框架,原始碼:https://github.com/lzyzsd 



  
 

    


    
    
android 架構整合react native框架js混編APP

     
  
 
  
  
  
  本篇文章主要總結一下現在APP當中使用的js、webView混編架構和技術。 
  
 什麼是 js 混編? 
 js混編簡單說就是使用JavaScript開發APP程式。 
  
 android應用使用的是java,Kotlin 、c/c++ 為主的語言開發,ios使用的ob 



  
 

    


    
    
Android測量APP效能-分析和除錯 APK(二)

     
  
 
 分析和除錯預構建 APK 
 Android Studio 3.0 允許您分析和除錯 APK,無需先從 Android Studio 專案構建這些 APK。 不過,您需要確保使用可除錯版本的 APK。 
 要開始除錯 APK,請在 Android Studio Welcome 歡迎螢幕中點選&nbs 



  
 

    


    
    
AndroidJNI動態註冊native方法和JNI資料簡單使用

     
 
                1、介紹JNI註冊方式

JVM 查詢 native 方法有兩種方式:
    1)、按照 JNI 規範的命名規則(靜態註冊)
   2) 、呼叫 JNI 提供的 RegisterNatives 函式,將本地函式註冊到 JVM 中(動態註冊)





2、動態註冊的步驟

 



  
 

    


    
    
Android 效能分析TraceView使用(應用耗時分析)

     
 
                文章概覽:

TraceView概述
	trace檔案的3種生成方式
	Android studio 直接生成(推薦)
		嵌入程式碼程式碼生成
		使用DDMS來生成
	
	TraceView介面及引數介紹
	使用TraceView分析,定位問題
	相關資料


Trace