UEFI Firmware Parser – UEFI固件分析器

华盟原创文章投稿奖励计划

项目地址

https://github.com/theopolis/uefi-firmware-parser

项目简介

在说这个工具之前我们得先了解一下什么是UEFI:

可扩展固件接口(Extensible Firmware Interface,EFI)是 Intel 为 PC 固件的体系结构、接口和服务提出的建议标准。其主要目的是为了提供一组在 OS 加载之前(启动前)在所有平台上一致的、正确指定的启动服务,被看做是有近20多年历史的 BIOS 的继任者。

UEFI固件分析器是一个简单的解析膜拜,可以用来提取和重现UEFI固件卷脚本,并且支持GUID注入和IDA的脚本。

特性

  • UEFI Firmware Volumes, Capsules, FileSystems, Files, Sections parsing

  • Intel PCH Flash Descriptors

  • Intel ME modules parsing (for ARC5)

  • Dell PFS (HDR) updates parsing

  • Tiano/EFI, and native LZMA (7z) [de]compression

  • Complete UEFI Firmware volume object heirarchy display

  • Firmware descriptor [re]generation using the parsed input volumes

  • Firmware File Section injection

支持的的固件厂商

  • ASRock

  • Dell

  • Gigabyte

  • Intel

  • Lenovo

  • HP

  • MSI

  • VMware

  • Apple

使用方法

固件类型检查

$ python ./scripts/fv_parser.py --type UEFI_VOLUME ~/firmware/970E32_1.40 $ python ./scripts/fv_parser.py ~/firmware/970E32_1.40

测试一个目录下的文件是否是固件,并输出固件类型

$ python ./scripts/fv_parser.py --test ~/firmware/* ~/firmware/970E32_1.40: UEFIFirmwareVolume ~/firmware/CO5975P.BIO: EFICapsule ~
/firmware/me-03.obj: IntelME ~/firmware/O990-A03.exe: None ~/firmware/O990-A03.exe.hdr: DellPFS

GUID 注入

华盟知识星球入口

本文来源黑客工具箱,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论