Super UEFIinSecureBoot Disk
3-4
Super UEFIinSecureBoot 디스크는 복구 USB 플래시 드라이브의 기반으로 사용하도록 설계된 GRUB2 부트로더가 포함된 개념 증명(적극적으로 유지 관리되거나 향상되지 않음) 부팅 가능 이미지입니다.
주요 특징: UEFI 보안 부팅 모드가 활성화되면 디스크가 완벽하게 작동합니다. 신뢰할 수 없거나 유효하지 않거나 서명이 누락된 경우에도 모든 운영 체제 또는 .efi 파일을 시작할 수 있습니다.
보안 부팅은 허용 가능한 디지털 서명으로 서명되지 않은 드라이버 또는 OS 로더의 로드를 방지하여 부팅 프로세스를 보호하도록 설계된 UEFI 펌웨어의 기능입니다.
대부분의 최신 컴퓨터에는 Windows 10 인증 프로세스의 요구 사항인 보안 부팅이 기본적으로 활성화되어 있습니다. UEFI 설정 메뉴의 모든 일반 마더보드에서 비활성화할 수 있지만 때로는 사용자가 모르는 회사 노트북의 UEFI 설정 비밀번호로 인해 쉽게 비활성화할 수 없습니다.
이 디스크는 USB 플래시 드라이브에 설치하고 부팅한 후 보안 부팅 보호 기능을 효과적으로 비활성화하고 일시적으로 보안 부팅이 비활성화된 것처럼 PC에서 거의 모든 작업을 수행할 수 있도록 허용합니다. 이는 데이터 복구, OS 재설치 또는 추가 단계를 고려하지 않고 USB에서 부팅하는 데 유용할 수 있습니다.
릴리스 페이지에서 이미지 파일을 다운로드하고 다음 프로그램 중 하나를 사용하여 USB 플래시에 씁니다.
경고: 모든 USB 플래시 데이터가 삭제됩니다.
이미지에는 단일 FAT32 500MiB 파티션이 포함되어 있습니다. gparted 또는 유사한 도구를 사용하여 크기를 조정하여 전체 USB 드라이브 공간을 확보하십시오.
보안 부팅을 사용하여 PC를 처음 부팅하면 액세스 위반 메시지 상자가 표시됩니다. 확인을 누르고 "파일에서 인증서 등록" 메뉴 옵션을 선택합니다. ENROLL_THIS_KEY_IN_MOKMANAGER.cer 선택하고 인증서 등록을 확인합니다.
보안 부팅이 없는 컴퓨터는 수동 개입 없이 GRUB으로 부팅됩니다.
이 디스크가 보안 부팅에서 작동하나요?
네, 그렇습니다. MokManager 소프트웨어를 사용하여 처음 부팅 수동 키를 등록한 후 서명되지 않거나 신뢰할 수 없는 Linux 커널이나 .efi 파일 또는 드라이버를 로드합니다. 최초 부팅 키 등록을 수행하기 위해 보안 부팅을 비활성화할 필요는 없습니다.
이 디스크는 보안 부팅이 없거나 보안 부팅이 비활성화된 UEFI 기반 컴퓨터에서 작동합니까?
예, 주식 GRUB2처럼 작동합니다.
이 디스크는 BIOS가 있는 구형 컴퓨터에서 작동합니까?
예, 다른 GRUB2 부트로더와 동일하게 작동합니다.
UEFI 부트킷/바이러스에서 보안 부팅을 우회하는 데 이 디스크를 사용할 수 있습니까?
아니요, 그렇지 않습니다. 이 디스크는 처음 부팅할 때 물리적 사용자의 수동 개입이 필요하므로 부트킷의 스텔스 목적이 제거됩니다.
GRUB를 다른 EFI 부트로더(rEFInd, syslinux, systemd-boot)로 교체할 수 있습니까?
예, grubx64_real.efi / grubia32_real.efi 를 귀하의 파일로 바꾸십시오. 부트로더는 서명이 필요하지 않으며 GRUB2가 디스크에 포함된 것처럼 grubx64.efi / grubia32.efi (PreLoader)에 의해 설치된 보안 정책 덕분에 모든 .efi 파일도 시작해야 합니다.
이 디스크의 UEFI 부팅 프로세스는 3단계로 수행됩니다.
bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS
1단계 : 마더보드가 심을 로드합니다. Shim은 우리의 경우 다음 실행 파일인 grubx64.efi(프리로더)를 로드하는 특수 로더입니다. Shim은 Microsoft 키로 서명되어 모든 기본 PC 마더보드에서 보안 부팅 모드로 실행될 수 있습니다.
Shim에는 내장된 Fedora 인증서가 포함되어 있습니다(Fedora 저장소에서 추출되었기 때문입니다). 보안 부팅이 활성화된 경우 grubx64.efi는 내장된 Fedora 인증서로 서명되지 않았기 때문에 shim은 특수 shim 키 관리 소프트웨어인 다른 실행 파일인 MokManager.efi를 부팅합니다. MokManager는 사용자에게 키 또는 해시 등록 프로세스를 진행하도록 요청합니다.
UEFI LoadImage, StartImage, ExitBootServices 및 Exit 기능에 대한 최신 버전의 shim 설치 후크는 "비참여 부트로더에 대해 강화"하며, 이 디스크 사용 사례에서는 우회해야 합니다. Fedora의 shim은 사용자 정의 UEFI 보안 정책을 설치하지 않으므로 MokManager를 사용하여 해시나 인증서를 추가하더라도 2단계 부트로더에서 자체 서명된 efi 파일을 로드할 수 없습니다.
2단계 : 프리로더는 shim과 유사한 소프트웨어입니다. 또한 실행 가능한 유효성 검사를 수행하고 다음 efi 파일을 로드합니다. 이 디스크에 포함된 프리로더는 모두 허용 UEFI 보안 정책 설치라는 한 가지 기능만 수행하는 단순 버전입니다. 이를 통해 GRUB 외부(예: UEFI Shell)에서도 LoadImage/StartImage UEFI 기능을 사용하여 임의의 efi 실행 파일을 로드할 수 있으며 심 강화를 우회할 수 있습니다.
3단계 : GRUB2는 잘 알려진 범용 부트로더입니다. 추가 확인(linux/linuxefi 명령) 없이 Linux 커널을 로드하고, .efi 바이너리를 메모리에 로드하고 해당 진입점(체인로더 명령)으로 점프하고, shim에 대해 "참여 부트로더"를 모방하도록 패치되었습니다.
이 주제에 대한 내 기사를 읽어보십시오: 서명된 부트로더를 악용하여 UEFI 보안 부팅을 우회함(러시아어로도 제공됨)
Super UEFIinSecureBoot Disk GRUB2는 suisbd=1 변수를 설정합니다. 여러 부트로더 간에 공유되는 grub.conf 에서 디스크의 패치된 GRUB2를 감지하는 데 사용할 수 있습니다.
버전 3부터 GRUB는 내부 로더 구현에 몇 가지 문제가 있기 때문에 기본 UEFI .efi 파일 로더를 사용합니다. 내부 로더를 사용하려면 GRUB 구성 파일에 set efi_internal_loader=1 추가하세요. 두 방법 모두 신뢰할 수 없는 .efi 파일을 로드할 수 있습니다.
