หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ดิสก์ Super UEFIinSecureBoot

Super UEFIinSecureBoot Disk เป็นอิมเมจที่สามารถบูตได้ แบบพิสูจน์แนวคิด (ไม่ได้รับการดูแลหรือปรับปรุง) พร้อมด้วยโปรแกรมโหลดบูต GRUB2 ที่ออกแบบมาเพื่อใช้เป็นฐานสำหรับแฟลชไดรฟ์ USB สำหรับการกู้คืน

คุณสมบัติหลัก: ดิสก์ทำงานได้อย่างสมบูรณ์โดยเปิดใช้งานโหมด UEFI Secure Boot สามารถเปิดระบบปฏิบัติการหรือไฟล์ .efi ได้ แม้ว่าจะมีลายเซ็นที่ไม่น่าเชื่อถือ ไม่ถูกต้อง หรือหายไปก็ตาม

คุณสมบัติ:

  • GRUB2 บูตโหลดเดอร์
  • รองรับ UEFI (+ Secure Boot) แบบ 32 บิต (ia32) / 64 บิต (x86_64)
  • รองรับไบออส / UEFI CSM
  • เปิดระบบปฏิบัติการใดก็ได้
  • เปิดไฟล์ปฏิบัติการ .efi ใด ๆ จาก GRUB2
  • เปิดไฟล์ปฏิบัติการ .efi ใดๆ จากแอปพลิเคชัน .efi อื่น
  • โหลดไดรเวอร์ UEFI ใด ๆ

ขึ้นอยู่กับ:

  • Red Hat shim (v15-8) จาก Fedora ลงนามด้วยรหัส Microsoft สำหรับการบูตครั้งแรก
  • แก้ไข Linux Foundation PreLoader เพื่อติดตั้งการหลีกเลี่ยงนโยบายความปลอดภัย UEFI
  • GRUB2 พร้อมแพตช์บายพาสความปลอดภัยไปยัง chainloader, linux/linuxefi และ shim

คำอธิบาย

Secure Boot เป็นคุณสมบัติของเฟิร์มแวร์ UEFI ซึ่งได้รับการออกแบบมาเพื่อรักษาความปลอดภัยของกระบวนการบู๊ตโดยการป้องกันการโหลดไดรเวอร์หรือตัวโหลด OS ที่ไม่ได้ลงนามด้วยลายเซ็นดิจิทัลที่ยอมรับได้

คอมพิวเตอร์สมัยใหม่ส่วนใหญ่มาพร้อมกับการเปิดใช้งาน Secure Boot เป็นค่าเริ่มต้น ซึ่งเป็นข้อกำหนดสำหรับกระบวนการรับรอง Windows 10 แม้ว่าจะสามารถปิดใช้งานได้บนเมนบอร์ดทั่วไปทั้งหมดในเมนูการตั้งค่า UEFI แต่บางครั้งก็ไม่สามารถทำได้ง่าย เช่น เนื่องจากรหัสผ่านการตั้งค่า UEFI ในแล็ปท็อปขององค์กรที่ผู้ใช้ไม่ทราบ

หลังจากติดตั้งดิสก์นี้ในแฟลชไดรฟ์ USB และบูตจากดิสก์นี้จะปิดใช้งานคุณสมบัติการป้องกัน Secure Boot ได้อย่างมีประสิทธิภาพและอนุญาตให้ดำเนินการเกือบทั้งหมดกับพีซีชั่วคราวราวกับว่า Secure Boot ถูกปิดใช้งาน ซึ่งอาจเป็นประโยชน์สำหรับการกู้คืนข้อมูล การติดตั้ง OS ใหม่ หรือเพียงสำหรับการบูตจาก USB โดยไม่ต้องคำนึงถึงขั้นตอนเพิ่มเติม

การติดตั้ง

ดาวน์โหลดไฟล์ภาพจากหน้าเผยแพร่ เขียนลงในแฟลช USB โดยใช้หนึ่งในโปรแกรมต่อไปนี้:

  • Rosa ImageWriter (สำหรับ Windows และ Linux)
  • Etcher (สำหรับ Windows, Linux และ macOS)

คำเตือน: ข้อมูลแฟลช USB ทั้งหมดของคุณจะถูกลบ

รูปภาพมีพาร์ติชัน FAT32 500MiB เดี่ยว ใช้เครื่องมือ gparted หรือที่คล้ายกันเพื่อปรับขนาดเพื่อให้ได้พื้นที่ไดรฟ์ USB เต็ม

การใช้งาน

การบูตครั้งแรกบนพีซีที่มี Secure Boot จะแสดงกล่องข้อความการละเมิดการเข้าถึง กดตกลงแล้วเลือกตัวเลือกเมนู "ลงทะเบียนใบรับรองจากไฟล์" เลือก ENROLL_THIS_KEY_IN_MOKMANAGER.cer และยืนยันการลงทะเบียนใบรับรอง

คอมพิวเตอร์ที่ไม่มี Secure Boot จะบูตไปที่ GRUB โดยไม่ต้องมีการแทรกแซงด้วยตนเอง

คำถามที่พบบ่อย

  • ดิสก์นี้ทำงานใน Secure Boot หรือไม่
    ใช่แล้ว โดยจะโหลดเคอร์เนล Linux หรือไฟล์ .efi หรือไดรเวอร์ของ Linux ที่ไม่ได้ลงชื่อหรือไม่น่าเชื่อถือ หลังจากลงทะเบียนคีย์ด้วยตนเองสำหรับการบูตครั้งแรกโดยใช้ซอฟต์แวร์ MokManager คุณไม่จำเป็นต้องปิดการใช้งาน Secure Boot เพื่อทำการลงทะเบียนคีย์การบูตครั้งแรก

  • ดิสก์นี้ใช้งานได้บนคอมพิวเตอร์ที่ใช้ UEFI โดยไม่มี Secure Boot หรือปิดใช้งาน Secure Boot หรือไม่
    ใช่ มันจะทำงานเหมือนกับหุ้น GRUB2

  • ดิสก์นี้ใช้งานได้กับคอมพิวเตอร์รุ่นเก่าที่มี BIOS หรือไม่
    ใช่ มันทำงานเหมือนกับโปรแกรมโหลดบูต GRUB2 อื่นๆ

  • ดิสก์นี้สามารถใช้เพื่อข้าม Secure Boot ใน UEFI bootkit/virus ได้หรือไม่
    ไม่ ไม่จริงๆ ดิสก์ นี้ ต้องมีการแทรกแซงด้วยตนเองจากผู้ใช้ทางกายภาพในการบูตครั้งแรก ซึ่งช่วยลดวัตถุประสงค์ในการซ่อนตัวของบูตคิท

  • ฉันสามารถแทนที่ GRUB ด้วย EFI bootloader อื่น (rEFInd, syslinux, systemd-boot) ได้หรือไม่
    ใช่ แทนที่ grubx64_real.efi / grubia32_real.efi ด้วยไฟล์ของคุณ บูตโหลดเดอร์ไม่จำเป็นต้องลงนามและควรเริ่มไฟล์ .efi ใดๆ ด้วย ขอบคุณสำหรับนโยบายความปลอดภัยที่ติดตั้งโดย grubx64.efi / grubia32.efi (PreLoader) เช่นเดียวกับ GRUB2 ที่รวมอยู่ในดิสก์

ข้อมูลทางเทคนิค

กระบวนการบูต UEFI ของดิสก์นี้ดำเนินการใน 3 ขั้นตอน

bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS

ขั้นตอนที่ 1 : เมนบอร์ดโหลดแผ่นชิม Shim เป็นตัวโหลดพิเศษซึ่งเพิ่งโหลดไฟล์ปฏิบัติการถัดไป grubx64.efi (ตัวโหลดล่วงหน้า) ในกรณีของเรา Shim ลงนามด้วยคีย์ Microsoft ซึ่งอนุญาตให้เปิดใช้งานในโหมด Secure Boot บนเมนบอร์ดพีซีสต็อกทั้งหมด
Shim มีใบรับรอง Fedora ฝังอยู่ (เพราะถูกดึงมาจากที่เก็บ Fedora) หากเปิดใช้งาน Secure Boot เนื่องจาก grubx64.efi ไม่ได้ลงนามด้วยใบรับรอง Fedora แบบฝัง shim จะบู๊ตโปรแกรมปฏิบัติการอื่น MokManager.efi ซึ่งเป็นซอฟต์แวร์การจัดการคีย์ shim พิเศษ MokManager ขอให้ผู้ใช้ดำเนินการตามขั้นตอนการลงทะเบียนคีย์หรือแฮชต่อไป
Hooks ติดตั้ง shim เวอร์ชันใหม่กว่าสำหรับฟังก์ชัน UEFI LoadImage, StartImage, ExitBootServices และ Exit เป็น "ทำให้แข็งขึ้นจากโปรแกรมโหลดบูตที่ไม่เข้าร่วม" ซึ่งควรข้ามไปสำหรับกรณีการใช้งานดิสก์นี้ แผ่นชิมของ Fedora ไม่ได้ติดตั้งนโยบายความปลอดภัย UEFI แบบกำหนดเอง ด้วยเหตุนี้จึงไม่สามารถโหลดไฟล์ efi ที่ลงนามด้วยตนเองจากโปรแกรมโหลดบูตขั้นที่สองได้ แม้ว่าคุณจะเพิ่มแฮชหรือใบรับรองโดยใช้ MokManager ก็ตาม

ขั้นตอนที่ 2 : ตัวโหลดล่วงหน้าเป็นซอฟต์แวร์ที่คล้ายกับชิม นอกจากนี้ยังทำการตรวจสอบปฏิบัติการและโหลดไฟล์ efi ถัดไป ตัวโหลดล่วงหน้าที่รวมอยู่ในดิสก์นี้เป็นเวอร์ชันแบบแยกส่วนซึ่งทำหน้าที่เดียวเท่านั้น: ติดตั้งนโยบายความปลอดภัย UEFI ที่อนุญาตทั้งหมด ซึ่งช่วยให้สามารถโหลดโปรแกรมปฏิบัติการ efi ได้ตามใจชอบด้วยฟังก์ชัน LoadImage/StartImage UEFI แม้อยู่ภายนอก GRUB (เช่น ใน UEFI Shell) และข้ามการชุบแข็งของชิม

ด่าน 3 : GRUB2 เป็น bootloader สากลที่รู้จักกันดี มีแพตช์ให้โหลดเคอร์เนล Linux โดยไม่มีการยืนยันเพิ่มเติม (คำสั่ง linux/linuxefi) โหลดไบนารี .efi ลงในหน่วยความจำ และข้ามไปยังจุดเริ่มต้น (คำสั่ง chainloader) และเลียนแบบ "การเข้าร่วม bootloader" สำหรับ shim

ข้อมูลเพิ่มเติม

อ่านบทความของฉันในหัวข้อนี้: การใช้ประโยชน์จาก bootloaders ที่ลงชื่อเพื่อหลีกเลี่ยง UEFI Secure Boot (มีในภาษารัสเซียด้วย)

หมายเหตุ

Super UEFIinSecureBoot Disk GRUB2 ตั้งค่าตัวแปร suisbd=1 สามารถใช้เพื่อตรวจจับ GRUB2 ที่แพตช์ของดิสก์ใน grub.conf ที่ใช้ร่วมกันระหว่าง bootloaders หลายตัว

ตั้งแต่เวอร์ชัน 3 GRUB ใช้ตัวโหลดไฟล์ UEFI .efi ในสต็อก เนื่องจากมีปัญหาบางประการในการใช้งานตัวโหลดภายใน หากต้องการใช้ตัวโหลดภายใน ให้เพิ่ม set efi_internal_loader=1 ลงในไฟล์การกำหนดค่า GRUB ทั้งสองวิธีสามารถโหลดไฟล์ .efi ที่ไม่น่าเชื่อถือได้

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด