Super UEFIinSecureBoot Disk
3-4
Super UEFIinSecureBoot Disk — это экспериментальный (не поддерживаемый и не усовершенствованный) загрузочный образ с загрузчиком GRUB2, предназначенный для использования в качестве основы для восстановления USB-накопителей.
Ключевая особенность: диск полностью работоспособен при активированном режиме безопасной загрузки UEFI. Он может запустить любую операционную систему или файл .efi, даже с ненадежной, недействительной или отсутствующей подписью.
Безопасная загрузка — это функция прошивки UEFI, предназначенная для защиты процесса загрузки путем предотвращения загрузки драйверов или загрузчиков ОС, не подписанных приемлемой цифровой подписью.
На большинстве современных компьютеров по умолчанию включена безопасная загрузка, что является требованием для процесса сертификации Windows 10. Хотя его можно отключить на всех типичных материнских платах в меню настройки UEFI, иногда это не так-то просто, например, из-за пароля настройки UEFI на корпоративном ноутбуке, который пользователь не знает.
Этот диск после установки на флешку и загрузки с него эффективно отключает функции защиты Secure Boot и временно позволяет выполнять практически все действия с ПК так, как если бы Secure Boot был отключен. Это может пригодиться для восстановления данных, переустановки ОС или просто для загрузки с USB, не задумываясь о дополнительных действиях.
Загрузите файл образа со страницы релизов, запишите его на USB-накопитель с помощью одной из следующих программ:
ВНИМАНИЕ: все данные вашей USB-флеш-памяти будут удалены.
Образ содержит один раздел FAT32 размером 500 МБ. Используйте gparted или аналогичный инструмент, чтобы изменить его размер и освободить место на USB-накопителе.
При первой загрузке ПК с безопасной загрузкой отобразится окно сообщения о нарушении прав доступа. Нажмите «ОК» и выберите пункт меню «Зарегистрировать сертификат из файла». Выберите ENROLL_THIS_KEY_IN_MOKMANAGER.cer и подтвердите регистрацию сертификата.
Компьютеры без безопасной загрузки будут загружаться в GRUB без ручного вмешательства.
Этот диск работает в Secure Boot?
Да, это так. Он загружает любое неподписанное или ненадежное ядро Linux, файл или драйвер .efi после ручной регистрации ключей при первой загрузке с помощью программного обеспечения MokManager. Вам не нужно отключать безопасную загрузку, чтобы выполнить регистрацию ключа первой загрузки.
Работает ли этот диск на компьютерах с поддержкой UEFI без безопасной загрузки или с отключенной безопасной загрузкой?
Да, он будет работать как стандартный GRUB2.
Работает ли этот диск на старых компьютерах с BIOS?
Да, он работает так же, как и любой другой загрузчик GRUB2.
Можно ли использовать этот диск для обхода безопасной загрузки в бутките/вирусе UEFI?
Нет, не совсем. Этот диск требует ручного вмешательства физического пользователя при первой загрузке, что исключает возможность скрытности буткита.
Могу ли я заменить GRUB другим загрузчиком EFI (rEFInd, syslinux, systemd-boot)?
Да, замените grubx64_real.efi / grubia32_real.efi своими файлами. Загрузчик не требует подписи и также должен запускать любые файлы .efi благодаря Политике безопасности, установленной grubx64.efi / grubia32.efi (PreLoader), так же, как GRUB2, включенный в диск.
Процесс загрузки UEFI этого диска выполняется в 3 этапа.
bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS
Этап 1 : материнская плата загружает прокладку. Shim — это специальный загрузчик, который просто загружает следующий исполняемый файл, в нашем случае grubx64.efi (предварительный загрузчик). Shim подписан ключом Microsoft, что позволяет запускать его в режиме безопасной загрузки на всех стандартных материнских платах ПК.
Shim содержит встроенный сертификат Fedora (поскольку он извлечен из репозитория Fedora). Если включена безопасная загрузка, поскольку grubx64.efi не подписан встроенным сертификатом Fedora, shim загружает другой исполняемый файл, MokManager.efi, который представляет собой специальное программное обеспечение для управления ключами оболочки. MokManager просит пользователя продолжить процесс регистрации ключа или хеша.
Новые версии перехватчиков установки прокладки для функций UEFI LoadImage, StartImage, ExitBootServices и Exit для «укрепления защиты от неучаствующих загрузчиков», которые следует обойти для этого варианта использования диска. Оболочка Fedora не устанавливает пользовательские политики безопасности UEFI, поэтому невозможно загрузить самозаверяющие файлы EFI из загрузчика второго этапа, даже если вы добавите их хэши или сертификаты с помощью MokManager.
Этап 2 : preloader — это программное обеспечение, похожее на shim. Он также выполняет проверку исполняемого файла и загружает следующий файл EFI. Preloader, включенный в этот диск, представляет собой урезанную версию, которая выполняет только одну функцию: установить политику безопасности UEFI, разрешающую все. Это позволяет загружать произвольные исполняемые файлы efi с помощью функций UEFI LoadImage/StartImage даже вне GRUB (например, в оболочке UEFI) и обходит усиление защиты оболочки.
Этап 3 : GRUB2 — известный универсальный загрузчик. Он был исправлен для загрузки ядра Linux без дополнительной проверки (команды linux/linuxefi), загрузки двоичных файлов .efi в память и перехода к точке входа (команда цепного загрузчика), а также для имитации «участвующего загрузчика» для прокладки.
Прочтите мою статью на эту тему: Использование подписанных загрузчиков для обхода UEFI Secure Boot (также доступна на русском языке)
Super UEFIinSecureBoot Disk GRUB2 устанавливает переменную suisbd=1 . Его можно использовать для обнаружения исправленного диска GRUB2 в файле grub.conf совместно используемом несколькими загрузчиками.
Начиная с версии 3, GRUB использует стандартный загрузчик файлов UEFI .efi, поскольку существуют некоторые проблемы с реализацией внутреннего загрузчика. Чтобы использовать внутренний загрузчик, добавьте set efi_internal_loader=1 в файл конфигурации GRUB. Оба метода могут загружать ненадежные файлы .efi.
