当前位置：首页 > news >正文

别再对着二进制文件发懵了！手把手带你用UEFITool解析BIOS固件的FD/FV/FF结构

news 2026/4/20 17:03:14

别再对着二进制文件发懵了！手把手带你用UEFITool解析BIOS固件的FD/FV/FF结构

当你从官网下载一个BIOS更新文件（通常是.fd或.bin格式），面对这个看似毫无规律的二进制"黑盒"，是否感到无从下手？本文将带你使用UEFITool这把"解剖刀"，一步步揭开UEFI固件的层级结构面纱，将抽象的FD/FV/FF概念转化为可视化的操作实践。

1. 准备工作：认识工具与文件

在开始解剖之前，我们需要准备好"手术工具"和"解剖对象"：

UEFITool：这是目前最流行的UEFI固件解析工具之一，支持Windows/Linux/macOS平台。最新版本可从GitHub获取：
```
git clone https://github.com/LongSoft/UEFITool.git
```
BIOS样本文件：建议从主板厂商官网下载官方BIOS更新包，通常是一个压缩文件，解压后可以得到.fd或.bin格式的固件

提示：首次使用时建议选择较新的Intel平台BIOS文件，这类固件结构规范，解析成功率较高

安装完成后启动UEFITool，界面主要分为三个区域：

左侧树状结构视图
中间十六进制数据视图
右侧属性信息面板

2. 第一刀：解剖FD结构

**Firmware Device (FD)**是整个固件的最外层容器，相当于一个"黑盒子"的外壳。在UEFITool中打开BIOS文件后，你会立即看到FD的整体结构：

结构组件	功能描述	典型大小
FD头部	包含固件签名和基本信息	16-64字节
FV区域	存放多个固件卷(FV)	几MB到几十MB
填充区域	对齐用的空白数据	不定

实际操作中，你可以：

点击左侧树状图的FD根节点
观察右侧面板显示的FD属性：
- Size：整个固件文件的大小
- Guid：FD的唯一标识符
- Checksum：完整性校验值

// 典型的FD头部结构示例 typedef struct { UINT8 Signature[4]; // 通常为"_FD_" UINT32 Size; // 整个FD的大小 UINT8 Guid[16]; // 唯一标识符 // ... 其他字段 } EFI_FIRMWARE_DEVICE_HEADER;

3. 深入核心：解析FV卷结构

**Firmware Volume (FV)**是FD内部的功能模块，相当于一个个"功能抽屉"。在UEFITool中：

展开FD节点下的FV子节点
每个FV节点会显示以下关键信息：
- FileSystemGuid：标识FV使用的文件系统类型
- Attributes：FV的属性标志
- HealthStatus：完整性状态

常见的FV类型包括：

FFS2：传统格式，支持小于16MB的文件
FFS3：扩展格式，支持大文件
NVRAM：存储配置数据的特殊卷

注意：遇到解析错误时，可以尝试在UEFITool的"Edit"菜单启用"Recovery mode"

4. 细粒度分析：探索FF文件

**Firmware File (FF)**是FV中的具体功能单元，相当于"抽屉中的文件"。在UEFITool中：

选择一个FV节点展开
查看其中的FF文件列表
右键点击文件可选择"Extract body"导出分析

FF文件的重要属性包括：

属性	说明	示例值
Type	文件类型	0x07 (PE32)
Guid	唯一标识	7BB28B99-61BB-11D5-9A5D-0090273FC14D
State	文件状态	0xF8 (VALID)

# 使用Python解析FF头部的示例 def parse_ff_header(data): header = { 'name': data[0:16], 'type': data[16], 'attributes': data[17], 'size': int.from_bytes(data[20:24], 'little') } return header