binder 驱动中做的工作可以总结为以下几步:
- 准备数据,根据命令分发给具体的方法去处理
- 找到目标进程的相关信息
- 将数据一次拷贝到目标进程所映射的物理内存块
- 记录待处理的任务,唤醒目标线程
- 调用线程进入休眠
- 目标进程直接拿到数据进行处理,处理完后唤醒调用线程
- 调用线程返回处理结果
在源码中实际会执行到的函数主要包括:
- binder_ioctl()
- binder_get_thread()
- binder_ioctl_write_read()
- binder_thread_write()
- binder_transaction()
- binder_thread_read()
下面按照这些 binder 驱动中的函数,以工作步骤为脉络,深入分析驱动中的源码执行逻辑,彻底搞定 binder 驱动!
1.binder_ioctl()
在 IPCThreadState 中通过系统调用 ioctl 陷入系统内核,调用到 binder_ioctl() 方法:
ioctl(mProcess->mDriverFD, BINDER_WRITE_READ, &bwr)
binder_ioctl() 方法中会根据 BINDER_WRITE_READ、BINDER_SET_MAX_THREADS 等不同 cmd 转调到不同的方法去执行,这里我们只关注 BINDER_WRITE_READ,代码如下:
static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg){
int ret;
//拿到调用进程在 binder_open() 中记录的 binder_proc
struct binder_proc *proc = filp->private_data;
struct binder_thread *thread;
binder_lock(__func__);
//获取调用线程 binder_thread
thread = binder_get_thread(proc);
switch (cmd) {
case BINDER_WRITE_READ:
//处理 binder 数据读写,binder IPC 通信的核心逻辑
ret = binder_ioctl_write_read(filp, cmd, arg, thread);
if (ret)
goto err;
break;
...
}
之前文章介绍过 binder_open() 方法, binder_open() 方法主要做了两个工作:
1、创建及初始化每个进程独有一份的、用来存放 binder 相关数据的 binder_proc 结构体
2、将 binder_proc 记录起来,方便后续使用。
正是通过 file 的 private_data 来记录的:
static int binder_open(struct inode *nodp, struct file *filp){
...
filp->private_data = proc;
...
}
拿到调用进程后,进一步通过 binder_get_thread() 方法拿到调用线程,然后就交给 binder_ioctl_write_read() 方法去执行具体的 binder 数据读写了。
可见 binder_ioctl() 方法本身的逻辑非常简单,将数据 arg 透传了出去。
下面分别来看 binder_get_thread()、binder_ioctl_write_read() 这两个方法。
2.binder_get_thread()
static struct binder_thread *binder_get_thread(
struct binder_proc *proc){
struct binder_thread *thread = NULL;
struct rb_node *parent = NULL;
//从 proc 中获取红黑树根节点
struct rb_node **p = &proc->threads.rb_node;
//查找 pid 等于当前线程 id 的thread,该红黑树以 pid 大小为序存放
while (*p) {
parent = *p;
thread = rb_entry(parent, struct binder_thread, rb_node);
//current->pid 是当前调用线程的 id
if (current->pid < thread->pid)
p = &(*p)->rb_left;
else if (current->pid > thread->pid)
p = &(*p)->rb_right;
else
break;
}
if (*p == NULL) {//如果没有找到,则新创建一个
thread = kzalloc(sizeof(*thread), GFP_KERNEL);
if (thread == NULL)
return NULL;
binder_stats_created(BINDER_STAT_THREAD);
thread->proc = proc;
thread->pid = current->pid;
init_waitqueue_head(&thread->wait); //初始化等待队列
INIT_LIST_HEAD(&thread->todo); //初始化待处理队列
//加入到 proc 的 threads 红黑树中
rb_link_node(&thread->rb_node, parent, p);
rb_insert_color(&thread->rb_node, &proc->threads);
thread->looper |= BINDER_LOOPER_STATE_NEED_RETURN;
thread->return_error = BR_OK;
thread->return_error2 = BR_OK;
}
return thread;
}
binder_thread 是用来描述线程的结构体,binder_get_thread() 方法中逻辑也很简单,首先从调用进程 proc 中查找当前线程是否已被记录,如果找到就直接返回,否则新建一个返回,并记录到 proc 中。
也就是说所有调用 binder_ioctl() 的线程,都会被记录起来。
3.binder_ioctl_write_read
此方法分为两部分来看,首先是整体逻辑:
static int binder_ioctl_write_read(struct file *filp,
unsigned int cmd, unsigned long arg,
struct binder_thread *thread){
int ret = 0;
struct binder_proc *proc = filp->private_data;
unsigned int size = _IOC_SIZE(cmd);
//用户传下来的数据赋值给 ubuf
void __user *ubuf = (void __user *)arg;
struct binder_write_read bwr;
//把用户空间数据 ubuf 拷贝到 bwr
if (copy_from_user(&bwr, ubuf, sizeof(bwr))) {
ret = -EFAULT;
goto out;
}
暂时忽略处理数据逻辑...
//将读写后的数据写回给用户空间
if (copy_to_user(ubuf, &bwr, sizeof(bwr))) {
ret = -EFAULT;
goto out;
}
out:
return ret;
}
起初看到 copy_from_user() 方法时难以理解,因为它看起来是将我们要传输的数据拷贝到内核空间了,但目前还没有看到 server 端的任何线索,bwr 跟 server 端没有映射关系,那后续再将 bwr 传输给 server 端的时候又要拷贝,这样岂不是多次拷贝了?
其实这里的 copy_from_user() 方法并没有拷贝要传输的数据,而仅是拷贝了持有传输数据内存地址的 bwr。后续处理数据时会根据 bwr 信息真正的去拷贝要传输的数据。
处理完数据后,会将处理结果体现在 bwr 中,然后返回给用户空间处理。那是如何处理数据的呢?所谓的处理数据,就是对数据的读写而已:
if (bwr.write_size > 0) {//写数据
ret = binder_thread_write(proc,
thread,
bwr.write_buffer, bwr.write_size,
&bwr.write_consumed);
trace_binder_write_done(ret);
if (ret < 0) { //写失败
bwr.read_consumed = 0;
if (copy_to_user(ubuf, &bwr, sizeof(bwr)))
ret = -EFAULT;
goto out;
}
}
if (bwr.read_size > 0) {//读数据
ret = binder_thread_read(proc, thread, bwr.read_buffer,
bwr.read_size,
&bwr.read_consumed,
filp->f_flags & O_NONBLOCK);
trace_binder_read_done(ret);
if (!list_empty(&proc->todo))
//唤醒等待状态的线程
wake_up_interruptible(&proc->wait);
if (ret < 0) { //读失败
if (copy_to_user(ubuf, &bwr, sizeof(bwr)))
ret = -EFAULT;
goto out;
}
}
可见 binder 驱动内部依赖用户空间的 binder_write_read 决定是要读取还是写入数据:其内部变量 read_size>0 则代表要读取数据,write_size>0 代表要写入数据,若都大于 0 则先写入,后读取。
至此焦点应该集中在 binder_thread_write() 和 binder_thread_read(),下面分析这两个方法。
4.binder_thread_write
在上面的 binder_ioctl_write_read() 方法中调用 binder_thread_write() 时传入了 bwr.write_buffer、bwr.write_size 等,先搞清楚这些参数是什么。
最开始是在用户空间 IPCThreadState 的 transact() 中通过 writeTransactionData() 方法创建数据并写入 mOut 的,writeTransactionData 方法代码如下:
status_t IPCThreadState::writeTransactionData(int32_t cmd, uint32_t binderFlags,
int32_t handle, uint32_t code, const Parcel& data, status_t* statusBuffer){
binder_transaction_data tr; //到驱动内部后会取出此结构体进行处理
tr.target.ptr = 0;
tr.target.handle = handle; //目标 server 的 binder 的句柄
//请求码,getService() 服务对应的是 GET_SERVICE_TRANSACTION
tr.code = code;
tr.flags = binderFlags;
tr.cookie = 0;
tr.sender_pid = 0;
tr.sender_euid = 0;
const status_t err = data.errorCheck(); //验证数据合理性
if (err == NO_ERROR) {
tr.data_size = data.ipcDataSize(); //传输数据大小
tr.data.ptr.buffer = data.ipcData(); //传输数据
tr.offsets_size = data.ipcObjectsCount()*sizeof(binder_size_t);
tr.data.ptr.offsets = data.ipcObjects();
} else {...}
mOut.writeInt32(cmd); // transact 传入的 cmd 是 BC_TRANSACTION
mOut.write(&tr, sizeof(tr)); //打包成 binder_transaction_data
return NO_ERROR;
}
然后在 IPCThreadState 的 talkWithDriver() 方法中对 write_buffer 赋值:
bwr.write_buffer = (uintptr_t)mOut.data();
搞清楚了数据的来源,再来看 binder_thread_write() 方法,binder_thread_write() 方法中处理了大量的 BC_XXX 命令,代码很长,这里我们只关注当前正在处理的 BC_TRANSACTION 命令,简化后代码如下:
static int binder_thread_write(struct binder_proc *proc,
struct binder_thread *thread,
binder_uintptr_t binder_buffer, size_t size,
binder_size_t *consumed){
uint32_t cmd;
void __user *buffer = (void __user *)(uintptr_t)binder_buffer;
void __user *ptr = buffer + *consumed; //数据起始地址
void __user *end = buffer + size; //数据结束地址
//可能有多个命令及对应数据要处理,所以要循环
while (ptr < end && thread->return_error == BR_OK) {
if (get_user(cmd, (uint32_t __user *)ptr)) // 读取一个 cmd
return -EFAULT;
//跳过 cmd 所占的空间,指向要处理的数据
ptr += sizeof(uint32_t);
switch (cmd) {
case BC_TRANSACTION:
case BC_REPLY: {
//与 writeTransactionData 中准备的数据结构体对应
struct binder_transaction_data tr;
//拷贝到内核空间 tr 中
if (copy_from_user(&tr, ptr, sizeof(tr)))
return -EFAULT;
//跳过数据所占空间,指向下一个 cmd
ptr += sizeof(tr);
//处理数据
binder_transaction(proc, thread, &tr, cmd == BC_REPLY);
break;
}
处理其他 BC_XX 命令...
}
//被写入处理消耗的数据量,对应于用户空间的 bwr.write_consumed
*consumed = ptr - buffer;
binder_thread_write() 中从 bwr.write_buffer 中取出了 cmd 和 cmd 对应的数据,进一步交给 binder_transaction() 处理,需要注意的是,BC_TRANSACTION、BC_REPLY 这两个命令都是由 binder_transaction() 处理的。
简单梳理一下,由 binder_ioctl -> binder_ioctl_write_read -> binder_thread_write ,到目前为止还只是在准备数据,没有看到跟目标进程相关的任何处理,都属于 “准备数据,根据命令分发给具体的方法去处理” 第 1 个工作。
而到此为止,第 1 个工作便结束,下一步的 binder_transaction() 方法终于要开始后面的工作了。
5.binder_transaction
binder_transaction() 方法中代码较长,先总结它干了哪些事:对应开头列出的工作,此方法中做了非常关键的 2-4 步:
- 找到目标进程的相关信息
- 将数据一次拷贝到目标进程所映射的物理内存块
- 记录待处理的任务,唤醒目标线程
以这些工作为线索,将代码分为对应的部分来看,首先是**「找到目标进程的相关信息」**,简化后代码如下:
static void binder_transaction(struct binder_proc *proc,
struct binder_thread *thread,
struct binder_transaction_data *tr, int reply){
struct binder_transaction *t; //用于描述本次 server 端要进行的 transaction
struct binder_work *tcomplete; //用于描述当前调用线程未完成的 transaction
binder_size_t *offp, *off_end;
struct binder_proc *target_proc; //目标进程
struct binder_thread *target_thread = NULL; //目标线程
struct binder_node *target_node = NULL; //目标 binder 节点
struct list_head *target_list; //目标 TODO 队列
wait_queue_head_t *target_wait; //目标等待队列
if(reply){
in_reply_to = thread->transaction_stack;
...处理 BC_REPLY,暂不关注
}else{
//处理 BC_TRANSACTION
if (tr->target.handle) { //handle 不为 0
struct binder_ref *ref;
//根据 handle 找到目标 binder 实体节点的引用
ref = binder_get_ref(proc, tr->target.handle);
target_node = ref->node; //拿到目标 binder 节点
} else {
// handle 为 0 则代表目标 binder 是 service manager
// 对于本次调用来说目标就是 service manager
target_node = binder_context_mgr_node;
}
}
target_proc = target_node->proc; //拿到目标进程
if (!(tr->flags & TF_ONE_WAY) && thread->transaction_stack) {
struct binder_transaction *tmp;
tmp = thread->transaction_stack;
while (tmp) {
if (tmp->from && tmp->from->proc == target_proc)
target_thread = tmp->from; //拿到目标线程
tmp = tmp->from_parent;
}
}
target_list = &target_thread->todo; //拿到目标 TODO 队列
target_wait = &target_thread->wait; //拿到目标等待队列
binder_transaction、binder_work 等结构体在上一篇中有介绍,上面代码中也详细注释了它们的含义。比较关键的是 binder_get_ref() 方法,它是如何找到目标 binder 的呢?这里暂不延伸,下文再做分析。
继续看 binder_transaction() 方法的第 2 个工作,「将数据一次拷贝到目标进程所映射的物理内存块」:
t = kzalloc(sizeof(*t), GFP_KERNEL); //创建用于描述本次 server 端要进行的 transaction
tcomplete = kzalloc(sizeof(*tcomplete), GFP_KERNEL); //创建用于描述当前调用线程未完成的 transaction
if (!reply && !(tr->flags & TF_ONE_WAY)) //将信息记录到 t 中:
### 总结
最后为了帮助大家深刻理解Android相关知识点的原理以及面试相关知识,这里放上相关的我搜集整理的24套**腾讯、字节跳动、阿里、百度2019-2021面试真题解析**,我把技术点整理成了**视频和PDF**(实际上比预期多花了不少精力),包**知识脉络 + 诸多细节**。
还有 **高级架构技术进阶脑图、Android开发面试专题资料** 帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
> 2021年虽然路途坎坷,都在说Android要没落,但是,不要慌,做自己的计划,学自己的习,竞争无处不在,每个行业都是如此。相信自己,没有做不到的,只有想不到的。祝大家2021年万事大吉。
还有 **高级架构技术进阶脑图、Android开发面试专题资料** 帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。
[外链图片转存中...(img-BDKeQTGU-1725984680369)]
[外链图片转存中...(img-wfZADels-1725984680369)]
[外链图片转存中...(img-CoAJthVy-1725984680370)]
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
> 2021年虽然路途坎坷,都在说Android要没落,但是,不要慌,做自己的计划,学自己的习,竞争无处不在,每个行业都是如此。相信自己,没有做不到的,只有想不到的。祝大家2021年万事大吉。
