拆包流程概覽#

這篇主要記錄我怎麼把技嘉 BMC 的韌體拆包、找到 devmaps，再產生後續會用到的 models.json。

使用 binwalk 掃描韌體#

先用 binwalk 看看韌體裡有什麼東西：

1
binwalk -e <BMC firmware>

實際輸出（節錄）：

1
DECIMAL       HEXADECIMAL     DESCRIPTION
2
--------------------------------------------------------------------------------
3
42092         0xA46C          LZMA compressed data, properties: 0x5D, dictionary size: -1073741824 bytes, uncompressed size: 124 bytes
4
42164         0xA4B4          Flattened device tree, size: 3615 bytes, version: 17
5
67616         0x10820         CRC32 polynomial table, little endian
6
118453        0x1CEB5         Certificate in DER format (x509 v3), header length: 4, sequence length: 259
7
422460        0x6723C         SHA256 hash constants, little endian
8
586693        0x8F3C5         AES Inverse S-Box
9
597830        0x91F46         AES S-Box
10
730664        0xB2628         Flattened device tree, size: 33400 bytes, version: 17
11
1179648       0x120000        JFFS2 filesystem, little endian
12
5111808       0x4E0000        JFFS2 filesystem, little endian
13
5636096       0x560000        Squashfs filesystem, little endian, version 4.0, compression:xz, size: 49067396 bytes, 7496 inodes, blocksize: 131072 bytes, created: 2025-08-29 14:54:42
14
54722624      0x3430040       Flattened device tree, size: 4856980 bytes, version: 17
15
54722852      0x3430124       Linux kernel ARM boot executable zImage (little-endian)
16
54738476      0x3433E2C       xz compressed data
17
54738707      0x3433F13       xz compressed data
18
59205388      0x387670C       Flattened device tree, size: 53626 bytes, version: 17
19
59703296      0x38F0000       Squashfs filesystem, little endian, version 4.0, compression:xz, size: 5241502 bytes, 107 inodes, blocksize: 131072 bytes, created: 2025-08-29 14:54:39

可以看到在 offset = 59703296 的位置有一個 SquashFS 檔案系統，把它解開就能拿到裡面的 rootfs 來研究。

找到 devmaps 與風扇對應關係#

解開 SquashFS 之後，可以在 rootfs 裡找到：

位置：/etc/devmaps/MZB3/
其中包含：G494-ZB4-AAP2-000.xml

搭配之前備份的 fanprofile.json 來看，可以發現 XML 裡有各種風扇的 mapping 設定。這些 mapping 可以用來把 fan profile 解析成「真正的風扇名稱」，方便之後做 UI 顯示或 Debug。

extract.sh：自動解包並提取 devmaps#

為了不要每次都手動找 offset、解 SquashFS，我寫了一個 extract.sh，自動：

用 binwalk 掃出韌體中的 SquashFS 區塊
用 dd 把 SquashFS 切出來
用 unsquashfs 解壓
搜尋 devmaps 資料夾並拷貝到指定目錄

1
#!/bin/bash
2

3
FILE="$1"
4
TARGET_DIR="extracted_devmaps"
5

6
if [ -z "$FILE" ]; then
7
    echo "用法: $0 <firmware.bin>"
8
    exit 1
9
fi
10

11
# 檢查工具
12
for cmd in binwalk unsquashfs dd grep awk; do
13
    if ! command -v $cmd &> /dev/null; then
14
        echo "錯誤: 缺少必要工具 $cmd"
15
        exit 1
16
    fi
17
done
18

19
echo "[*] 正在掃描 $FILE (僅讀取表頭，不解壓)..."
20

21
# 讀取 binwalk 輸出
22
binwalk "$FILE" | grep "Squashfs filesystem" | while read -r line; do
23

24
    # 1. 抓取 Offset (十進位)
25
    OFFSET=$(echo "$line" | awk '{print $1}')
26

27
    # 2. 抓取 Size (使用嚴格 Regex 避開 blocksize)
28
    SIZE=$(echo "$line" | grep -oP '\bsize: \K[0-9]+' | head -n 1)
29

30
    if [ -z "$OFFSET" ] || [ -z "$SIZE" ]; then
31
        continue
32
    fi
33

34
    echo "---------------------------------------------------"
35
    echo "[+] 發現 SquashFS -> Offset: $OFFSET, Size: $SIZE"
36

37
    IMG_NAME="rootfs_${OFFSET}.sqfs"
38

39
    # 3. 使用 dd 切割檔案 (高效能模式)
40
    # bs=1M: 每次讀寫 1MB，大幅降低 I/O overhead
41
    # iflag=skip_bytes,count_bytes: 告訴 dd 雖然 bs=1M，但 skip/count 的單位是 bytes
42
    echo "[*] 正在切割檔案 (高效能 dd)..."
43

44
    dd if="$FILE" bs=1M skip="$OFFSET" count="$SIZE" iflag=skip_bytes,count_bytes of="$IMG_NAME" status=none
45

46
    if [ $? -ne 0 ]; then
47
        echo "[-] dd 切割失敗，請檢查 dd 版本是否支援 iflag (GNU dd)"
48
        rm -f "$IMG_NAME"
49
        continue
50
    fi
51

52
    # 4. 解壓 SquashFS
53
    echo "[*] 正在解壓 SquashFS..."
54
    TEMP_EXTRACT_DIR="sqfs_out_${OFFSET}"
55

56
    # 加上 -no-xattrs 避免 WSL 下的權限屬性報錯
57
    unsquashfs -d "$TEMP_EXTRACT_DIR" -f -no-xattrs "$IMG_NAME" > /dev/null 2>&1
58

59
    if [ ! -d "$TEMP_EXTRACT_DIR" ]; then
60
        echo "[-] 解壓失敗 (可能是缺少 sasquatch)，跳過..."
61
        rm -f "$IMG_NAME"
62
        continue
63
    fi
64

65
    # 5. 搜尋並提取 devmaps
66
    FOUND_PATH=$(find "$TEMP_EXTRACT_DIR" -type d -name "devmaps" | head -n 1)
67

68
    if [ -n "$FOUND_PATH" ]; then
69
        echo "[!] 成功在 $IMG_NAME 中找到 devmaps！"
70
        echo "[*] 路徑: $FOUND_PATH"
71

72
        mkdir -p "$TARGET_DIR"
73
        cp -r "$FOUND_PATH/"* "$TARGET_DIR/"
74
        echo "[ok] 已複製到: $TARGET_DIR"
75

76
        # 清理暫存
77
        rm -rf "$TEMP_EXTRACT_DIR" "$IMG_NAME"
78
        echo "[*] 已清理暫存檔案，任務完成。"
79

80
        exit 0
81
    else
82
        echo "[-] 此分區未找到 devmaps，清理並繼續搜尋下一個..."
83
        rm -rf "$TEMP_EXTRACT_DIR" "$IMG_NAME"
84
    fi
85

86
done
87

88
echo "---------------------------------------------------"
89
if [ -d "$TARGET_DIR" ]; then
90
    echo "掃描結束。請檢查 $TARGET_DIR"
91
else
92
    echo "掃描結束。未在任何 SquashFS 分區中找到 devmaps。"
93
fi

gen_models.py：從 devmaps 生成 models.json#

有了 devmaps 裡一堆 XML 檔之後，接下來用 gen_models.py 生成一個整理好的 models.json，之後可以給前端或其他工具使用。

腳本會：

遞迴掃描目標目錄
找出所有非 empty.xml 的 XML 檔
以檔名當作 id / name
輸出每個檔案在目標目錄下的相對路徑

1
import os
2
import json
3
import argparse
4

5
def generate_models_json(target_dir, output_file):
6
    models_list = []
7

8
    # 確保目標目錄存在
9
    if not os.path.exists(target_dir):
10
        print(f"錯誤: 找不到目錄 '{target_dir}'")
11
        return
12

13
    print(f"[*] 正在掃描目錄: {target_dir} ...")
14

15
    # 遞迴遍歷目錄 (os.walk)
16
    for root, dirs, files in os.walk(target_dir):
17
        for file in files:
18
            # 只處理 xml 檔案，並忽略 empty.xml
19
            if file.endswith(".xml") and file != "empty.xml":
20

21
                # 取得完整路徑 (例如: ./extracted_devmaps/MZ93/R183-Z90.xml)
22
                full_path = os.path.join(root, file)
23

24
                # 取得檔名不含副檔名 (ID)
25
                # os.path.splitext("R183.xml") -> ("R183", ".xml")
26
                file_id = os.path.splitext(file)[0]
27

28
                # 取得所在的資料夾名稱 (例如 MZ93)，這是主板系列代號
29
                series_folder = os.path.basename(root)
30

31
                # 建立 JSON 物件結構
32
                model_entry = {
33
                    "id": file_id,
34
                    "name": file_id,
35
                    "file": os.path.relpath(full_path, target_dir),
36
                    # "series": series_folder,       # (可選) 主板系列
37
                    # "path": os.path.relpath(full_path, target_dir) # (可選) 相對路徑
38
                }
39

40
                models_list.append(model_entry)
41

42
    # 根據 ID 排序，讓 JSON 比較整齊
43
    models_list.sort(key=lambda x: x['id'])
44

45
    # 寫入 JSON 檔案
46
    try:
47
        with open(output_file, 'w', encoding='utf-8') as f:
48
            json.dump(models_list, f, indent=2, ensure_ascii=False)
49

50
        print(f"---------------------------------------------------")
51
        print(f"[OK] 成功生成: {output_file}")
52
        print(f"[+] 總共找到 {len(models_list)} 個機型定義檔")
53
        print(f"---------------------------------------------------")
54

55
    except IOError as e:
56
        print(f"寫入檔案錯誤: {e}")
57

58
if __name__ == "__main__":
59
    # 設定參數解析
60
    parser = argparse.ArgumentParser(description="掃描目錄並生成 models.json")
61
    parser.add_argument("directory", nargs="?", default="extracted_devmaps", help="要掃描的 devmaps 資料夾路徑 (預設: extracted_devmaps)")
62
    parser.add_argument("-o", "--output", default="models.json", help="輸出檔案名稱 (預設: models.json)")
63

64
    args = parser.parse_args()
65

66
    generate_models_json(args.directory, args.output)

小結#

用 binwalk 找到韌體中的 SquashFS 區塊
用 extract.sh 自動切出並解開 rootfs，抽出 devmaps
用 gen_models.py 掃描 devmaps，產生 models.json

這樣之後只要拿到新的 BMC 韌體，整個「拆包 → 抽資料 → 生成 models.json」流程就可以一鍵跑完。