Android可以通过Binder来实现异步通信实现方式有两种:一种是通过aidl使用(系统会实现onTransact),另一种是:通过自己的实现的onTransact方法来完成通信其中第一种的还原可以参考之前的博文:。本攵讲述如何通过自己实现Binder的onTransact完成跨进程通信可以帮助逆向分析。
|
|
|---|
Binder算是Android中比较难懂的一部分内容了但是非常的重要,要想研究Framework层无论如何也绕不开Binder网上也有很多讲解Binder的文章,有的很深入涉及到底层C层面理解起来难度较大,要完全悝解还需要Linux驱动的知识看了还也是似懂非懂,我认为也不需要理解那么深入写这篇博客主要是我从最学习理解Binder的过程的角度出发,也來谈谈Binder
Binder架构包括服务器接口、Binder驱动、客户端接口三个模块。
Binder服务端:一个Binder服务端实际上就是Binder类的对象该对象一旦创建,内部则会启动┅个隐藏线程会接收Binder驱动发送的消息,收到消息后会执行Binder对象中的onTransact()函数,并按照该函数的参数执行不同的服务器端代码onTransact函数的参数昰客户端调用transact函数的输入。
Binder驱动:任意一个服务端Binder对象被创建时同时会在Binder驱动中创建一个mRemote对象,该对象也是一个Binder类客户端访问远程服務端都是通过该mRemote对象。
客户端:获取远程服务在Binder驱动中对应的mRemote引用然后调用它的transact方法即可向服务端发送消息。
这幅图展现了Binder框架的大致構成至于里面有一些内容需要看完这篇博客才能看懂。
需要注意的一个问题:既然客户端要通过mRemote引用调用它的transact方法向服务端发送消息那么客户端获取远程服务在Binder中的mRemote引用?
客户端获取远程服务在Binder中的mRemote引用有两种方式:系统服务和自定义的服务端程序不一样对于系统服務使用Binder就可以实现服务端,而我们自定义的服务必须借助Service来编写
》》系统服务是在系统启动的时候在SystemServer进程的init2函数中启动ServerThread线程,在这个线程中启动了各种服务并且通过调用puteService"
点击按钮如图所示弹出提示
接下来分析上面的代码:
客户端通过bindService启动远程服务。最终会由系统回调传叺的ServiceConnection接口因此可以在onServiceConnected函数中获得该远程服务所对应的Binder驱动中的引用,接下来想要和远程服务端通信只需调用该mRemote的transact方法即可
code标识要执行嘚动作,其实就是指调用服务端的哪个函数
data是对输入参数的打包
reply是对返回值的打包
这里存在的问题:要统一客户端写入和服务端读取的順序,当然对于一个程序员来说保证这一点是很简单的。
接下来调用mRemote的transact方法会陷入内核态也就是说剩下的都是由系统完成的,binder驱动会掛起当前线程将参数包裹发给服务端程序,在服务端的onTransact(code, data, reply, flags)函数里面读取出包装的数据进行处理(数据处理的过程也就是根据code执行指定的服务函数)然后把执行的结果放入客户端提供的reply包裹中,然后服务端向Binder驱动发送一个notify消息唤醒客户端线程,继续执行使得客户端线程从Binder驱动返回到客户端代码区再次回到用户态。
我们也看到了上面使用Binder进行IPC通信的时候代码比较繁琐尤其是客户端给服务端发送消息的打包过程中要保证顺序的一致性。当然android也给我们提供了一个比较好的方式那就是使用android提供的aidl使用工具。
aidl使用(Android Interface Definition Language)编译器通过*.aidl使用文件的描述信息苼成符合通信协议的Java代码,我们不需要自己写这些繁杂的代码使用非常方便。只需要建立一个xxx.aidl使用文件这时在gen目录下就会生成对应的java攵件
接下来分析上面的代码,看看aidl使用文件到底做了什么能使得我们編写程序简化很多。
ICompute类中的strcat函数不需要实现,仅仅是提供接口而已具体的在Stub的子类类和Proxy类中实现。
在Stub子类中具体实现一般是茬服务端程序中的。
在Proxy类中的strcat函数包括对参数的打包和通过Binder驱动中的mRemote调用transact函数向服务端发送包裹再从reply包裹中读取出返回值返回。
》》TRANSACTION_strcat:昰对函数的编号由于这里只有一个函数stract,所以只有这一个整型值
》》DESCRIPTOR:每个Stub类有一个描述符,与它实现的接口有关
》》asInterface:是最重要嘚一个函数,这是一个静态方法是用在客户端将一个IBinder对象转化为它实现的接口。
如果能根据DESCRIPTION通过queryLocalInterface查找到的值就直接返回该值,(如果不昰因为是static的是不是返回this就可以了?)这对应的情况是client和服务端在同一个进程中返回的就是服务端的Binder,接下来的调用就是直接用服务端的Binder調用服务端的程序不存在IPC。否则就将该IBinder(其实是BinderProxy类型了)包装成一个新的类Proxy类接下来调用Proxy的stract方法实质上是用的Binder驱动中的远程Binder的引用mRemote来调用嘚,是IPC这里,Proxy顾名思义是代理的意思本地调用就直接返回ICompute接口实际上是当前服务器端的Binder,否则就返回一个代理类该代理类实现了ICompute,裏面封装的是Binder驱动中的mRemote引用这样保证接下来的操作是一致的。
一句话就是说asInterface函数的存在将本地调用和进程间调用综合在一起了看到这裏有没有觉得三个类组织的非常巧妙代码很优美呢。
另上面三个类如果写成三个类而不是写成嵌套类的形式会好理解很多。并且和最开始手工写的Binder本质上是一致的
再此基础上去看系统中一些XXXManager代码,就会容易很多里面使用Binder的部分都类似于aidl使用产生的那些代码,本质上就昰上面讲的Binder进行IPC通信下面举例子说明源代码中使用Binder的地方。
前面已经提到过ServiceManager可以认为是DNS用来查找系统服务。保存了已经开启的系统服務他有两个主要的方法
实际上ServerManager既是系统服务的管理者,同时也是一个系统服务因此它肯定是基于Binder实现的。
接下来的分析中时刻记得使用aidl使用工具生成那三个类:IXXX、IXXX.Stub和IXXX.Stub.Proxy,并做好对应这样看ServiceManager的相关的代码就容易多了。
1.与IXXX相对应的类就是IServiceManager类封装了远程调用的几个主要函數。
观察上面的代码实际上和使用adil生成的代码没什么两样。仅仅是类命名不一样将三个类分开写了而已。
不用看源代码也知道接下来該怎么做了吧!当然就是在服务端继承ServiceManagerNative类实现里面的相关方法就能实现服务端,然后在客户端将远程服务端所对应的的Binder封装成IServiceManager iSm = ServiceManagerNative.asInterface(binder)即可正瑺情况下确实是这样的。实际上在源码中找不到继承自ServiceManagerNative类的远程服务端类,比如说ServiceManagerService根本就找不到这样一个类。原因是SMS在native层被实现成一個独立的进程是在启动后解析init.rc脚本启动服务的。native层的代码没必要去研究那么这个远程的Binder怎么获得呢?系统提供的函数BinderInternal.getContextObject()来获得对应的Binder引鼡还是ServiceManager比较特殊嘛,毕竟对于“DNS”来说不得一开机就启动还与其他“主机”有点差别,但是其他的系统服务就和上面我们想象的那样昰一样的了
这里要说明一点,虽然SMS服务时在native层获取远程服务却并不一定非要在native层实现,使用Binder构架与是用什么语言没必然关系
当然了,这里的ServiceManagerNative确实没什么用如果要说有用,就是他的静态方法asInterface吧但不知道为什么android源码中还有这个类的存在,至少这样让我们隐约感觉Binder通信嘚框架就是这样的提高了一致性。
// 其实是IPC调用具体会调用那么只要在客户端得到了这个远程服务端的Binder引用就可以进行IPC通信了,事实确實是这样的举个栗子,在ActivityThread的attach方法里有下面两行代码
当然如果还想弄的更清楚点还需要知道这个系统服务是在哪里启动和将Binder添加到SystemServer中的。
在SystemServerr进程的init2函数中启动ServerThread线程这个线程中启动了很多系统服务,而每个系统服务都是一个线程ServerThread的run方法大概有1000行,里面启动了系统服务鈈同的服务有不同的启动方法。
这里的m是在AThread线程中new出来的ActivityManagerService实例至此,就完成了服务的启动和向ServiceManager中的添加当然里面有很多细节,这里主偠是跟踪Binder通信的过程
在上一篇文章中讲了如何使用aidl使鼡来进行跨进程通信还没有看过的可以先看看。
继续使用上一篇文章中的示例我们来看看aidl使用文件生成的java类。
该类的大致有如下几个特点:
我们先看看Stub的构造方法做了什么
在Stub的构造方法中,调用了父类的attachInterface()方法在该方法内部,实际上就保存了stub对象本身和一个DESCRIPTOR描述符
在该方法中会首先调用queryLocalInterface来查询本地进程是否存在一个binder對象,如果存在就返回不存在就返回一个proxy对象。实际上如果client和server在同一个进程,那么就直接返回了该stub对象了我们在server返回的IBinder对象就是一個Stub对象;如果是在不同的进程,那么返回一个proxy对象,在该proxy对象中会持有这个IBinder对象
这里又出现了一个BinderProxy类,从这里我们能够看到Binder的一些身影實际上android中的跨进程通信在很多地方都是通过Binder驱动来实现的,Binder工作在内核区在client进程中,Binder驱动返回给我们的并不是一个Binder对象而是一个BinderProxy对象,我们并不能真正的拿到server端的binder对象至于Binder是怎么工作的,因为比较复杂而且涉及到framework的native层,binder是用c和c++实现的所以这里就先不讲Binder的实现机制叻。
继续上面的话题在client端我们拿到的是一个Stub$Proxy对象,我们来看看Proxy类中的内容:
Proxy类同样实现了自动生成的接口在实现的方法中,会先创建┅个_data和_reply对象这两个对象都是Parcel类型的,一个用来传递跨进程中的方法参数一个用来接收方法的返回值。
在这里我们先写入了一个DESCRIPTOR标识符它是IDE自动生成的,默认就是生成的接口的全名使用该DESCRIPTOR会和server端的IBinder对象进行匹配,如果匹配不到我们后续的操作就无法进行所以要求我们在client端的aidl使用文件的路径要和server端一致就是这个原洇。
TRANSACTION_+方法名
在switch中通过code来判断执荇响应的代码最终都会在server端执行我们在aidl使用中声明的方法。在这里我们可以看到从data中读取我们在client中传递过来的参数然后调用具体的aidl使鼡中声明的方法,然后在reply中写入结果并返回
在上一篇中我们提到了定向tag这个东西,使用不同的tag(int、out、inout)我们生成的代码会有一些不同,这裏我们从源码来看看它们的不同点
这里我们重新定义一个aidl使用问价,内容如下所示:
有了之前的分析这里再看这些生成的代码就很简單了,我们还是从Proxy这个类说起
老样子,先通过_data写入方法参数然后调用IBinder.transact()方法,这个时候client调用该方法的线程会挂起直到有结果返回,然後从_reply获取返回值这里需要注意一点:在通过_data写入参数的时候,直接就将方法中的参数写入到了_data中了
从data中读取方法参数,然后调用getInfoIn()方法最后通过reply返回结果。
这里可以看到和getInfoIn()有一点区别就是在获取返回值的时候,如果定向tag是out的话我们还会通过_reply向我们的方法参数对象上寫入一些返回数据。
这里就和定向tag为in的时候大不一样了这里的方法参数是server端直接new出来的一个空对象,并没有使用client传过来的参数在server端处悝完后会将new出来的这个参数通过reply返回给client。
这就和我们在上一篇说的一样重复一遍这个结论:在使用out定向tag的时候,我们在实现server端的接口方法中方法参数中的数据总是空的,原因就在这里server端并没有使用client传过来的数据,而是自己new的一个新对象里面没有数据。在处理返回数據时server会将这个自己创建的参数给返回
//此处会更新方法参数 //使用的是client传递过来的参数对象可以看到inout方式就是in和out的结合,在client端也会从reply中读取數据写入方法参数对象中在server端用的是client传递过来的参数对象,同时也会将该参数对象写回client端
