Super UEFIinSecureBoot Disk
3-4
Super UEFIinSecureBoot Disk adalah image bootable proof-of-concept (tidak dipelihara atau ditingkatkan secara aktif) dengan bootloader GRUB2 yang dirancang untuk digunakan sebagai dasar untuk pemulihan flash drive USB.
Fitur utama: disk berfungsi penuh dengan mode UEFI Secure Boot diaktifkan. Itu dapat meluncurkan sistem operasi atau file .efi apa pun, bahkan dengan tanda tangan yang tidak tepercaya, tidak valid, atau hilang.
Boot Aman adalah fitur firmware UEFI yang dirancang untuk mengamankan proses booting dengan mencegah pemuatan driver atau pemuat OS yang tidak ditandatangani dengan tanda tangan digital yang dapat diterima.
Sebagian besar komputer modern dilengkapi dengan Boot Aman yang diaktifkan secara default, yang merupakan persyaratan untuk proses sertifikasi Windows 10. Meskipun dapat dinonaktifkan pada semua motherboard pada umumnya di menu pengaturan UEFI, terkadang hal ini tidak dapat dilakukan dengan mudah, misalnya karena kata sandi pengaturan UEFI di laptop perusahaan yang tidak diketahui oleh pengguna.
Disk ini, setelah diinstal pada flash drive USB dan di-boot, secara efektif menonaktifkan fitur perlindungan Boot Aman dan untuk sementara memungkinkan untuk melakukan hampir semua tindakan dengan PC seolah-olah Boot Aman dinonaktifkan. Ini mungkin berguna untuk pemulihan data, instalasi ulang OS, atau hanya untuk boot dari USB tanpa memikirkan langkah tambahan.
Unduh file gambar dari halaman rilis, tulis ke USB flash menggunakan salah satu program berikut:
PERINGATAN: semua data flash USB Anda akan dihapus.
Gambar berisi partisi FAT32 500MiB tunggal. Gunakan gparted atau alat serupa untuk mengubah ukurannya guna mendapatkan ruang drive USB penuh.
Boot pertama pada PC dengan Secure Boot akan menampilkan kotak pesan Pelanggaran Akses. Tekan OK dan pilih opsi menu "Daftarkan sertifikat dari file". Pilih ENROLL_THIS_KEY_IN_MOKMANAGER.cer dan konfirmasi pendaftaran sertifikat.
Komputer tanpa Boot Aman akan melakukan booting ke GRUB tanpa intervensi manual.
Apakah disk ini berfungsi di Boot Aman?
Ya, benar. Ini memuat kernel Linux atau file atau driver .efi yang tidak ditandatangani atau tidak tepercaya, setelah pendaftaran kunci manual boot pertama menggunakan perangkat lunak MokManager. Anda tidak perlu menonaktifkan Boot Aman untuk melakukan pendaftaran kunci boot pertama.
Apakah disk ini berfungsi pada komputer berbasis UEFI tanpa Boot Aman, atau dengan Boot Aman dinonaktifkan?
Ya, ini akan berfungsi seperti stok GRUB2.
Apakah disk ini berfungsi pada komputer lama dengan BIOS?
Ya, ini berfungsi sama seperti bootloader GRUB2 lainnya.
Bisakah disk ini digunakan untuk melewati Boot Aman di bootkit/virus UEFI?
Tidak, tidak juga. Disk ini memerlukan intervensi manual dari pengguna fisik pada boot pertama, yang menghilangkan tujuan bootkit untuk menjadi sembunyi-sembunyi.
Bisakah saya mengganti GRUB dengan bootloader EFI lain (rEFInd, syslinux, systemd-boot)?
Ya, ganti grubx64_real.efi / grubia32_real.efi dengan file Anda. Bootloader tidak perlu ditandatangani dan juga harus memulai file .efi apa pun, terima kasih atas Kebijakan Keamanan yang diinstal oleh grubx64.efi / grubia32.efi (PreLoader), sama seperti GRUB2 yang disertakan dalam disk.
Proses booting UEFI pada disk ini dilakukan dalam 3 tahap.
bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS
Tahap 1 : motherboard memuat shim. Shim adalah pemuat khusus yang hanya memuat executable berikutnya, grubx64.efi (preloader) dalam kasus kami. Shim ditandatangani dengan kunci Microsoft, yang memungkinkannya diluncurkan dalam mode Boot Aman di semua motherboard PC stok.
Shim berisi sertifikat Fedora yang tertanam (karena diekstraksi dari repositori Fedora). Jika Boot Aman diaktifkan, karena grubx64.efi tidak ditandatangani dengan sertifikat Fedora yang tertanam, shim mem-boot executable lain, MokManager.efi, yang merupakan perangkat lunak manajemen kunci shim khusus. MokManager meminta pengguna untuk melanjutkan proses pendaftaran kunci atau hash.
Versi terbaru dari kait pemasangan shim untuk UEFI LoadImage, StartImage, ExitBootServices, dan Exit berfungsi untuk "Memperkeras terhadap bootloader yang tidak berpartisipasi", yang harus dilewati untuk kasus penggunaan disk ini. Shim Fedora tidak menginstal kebijakan keamanan UEFI khusus, itu sebabnya tidak mungkin memuat file efi yang ditandatangani sendiri dari bootloader tahap kedua, bahkan jika Anda menambahkan hash atau sertifikatnya menggunakan MokManager.
Tahap 2 : preloader adalah software yang mirip dengan shim. Itu juga melakukan validasi yang dapat dieksekusi dan memuat file efi berikutnya. Prapemuat yang disertakan dalam disk ini adalah versi sederhana yang hanya menjalankan satu fungsi: menginstal kebijakan keamanan UEFI yang mengizinkan semua. Hal ini mengizinkan pemuatan executable efi arbitrer dengan fungsi UEFI LoadImage/StartImage bahkan di luar GRUB (misalnya, dalam UEFI Shell), dan melewati pengerasan shim.
Tahap 3 : GRUB2 adalah bootloader universal yang terkenal. Ini telah ditambal untuk memuat kernel Linux tanpa verifikasi tambahan (perintah linux/linuxefi), memuat binari .efi ke dalam memori dan melompat ke titik masuknya (perintah chainloader), dan untuk meniru "bootloader yang berpartisipasi" untuk shim.
Baca artikel saya tentang topik ini: Memanfaatkan bootloader yang ditandatangani untuk menghindari UEFI Secure Boot (juga tersedia dalam bahasa Rusia)
Super UEFIinSecureBoot Disk GRUB2 menyetel variabel suisbd=1 . Ini dapat digunakan untuk mendeteksi GRUB2 disk yang dipatch di grub.conf yang dibagikan antara beberapa bootloader.
Sejak versi 3, GRUB menggunakan pemuat file .efi UEFI bawaan, karena ada beberapa masalah dengan implementasi pemuat internal. Untuk menggunakan pemuat internal, tambahkan set efi_internal_loader=1 ke dalam file konfigurasi GRUB. Kedua metode tersebut dapat memuat file .efi yang tidak tepercaya.
