无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 5016|回复: 33
打印 上一主题 下一主题

[分享] 安全启动安全功能绕过漏洞 CVE-2023-24932 启用微软补丁测试

[复制链接]
跳转到指定楼层
1#
发表于 2023-7-22 20:01:16 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 netsurf 于 2023-7-24 07:58 编辑

1> 测试环境
VMware® Workstation 16 Pro 16.2.5 build-20904516


;2023年7月ISO镜像,安装Win10 PRO专业版
zh-cn_windows_10_business_editions_version_22h2_updated_july_2023_x64_dvd_62f461c9.iso
2> 安装Win10 PRO专业版
;检查系统日志发现,安装后已经有 1034,已成功放用安全启动 Dbx更新






3> 第一次测试ISO启用
;经测试,可以正常EFI ISO




4> 手动生效补丁,参考知彼而知已文章
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
注: 手动生效补丁后,重启计算机,检查系统日志已经有 1035,已成功放用安全启动 Dbx更新



5> 第二次测试启动
;虚拟机环境,光盘ISO镜像无法被正常引导调用,直接进入系统启动管理器中
;测试微PE 2.3版生成的ISO依然无法引导
;手动复制已安装系统中ESP分区中的bootx64.efi和SkuSiPolicy.p7b到ISO光盘中,依然无法引导, 此时关闭安全启动后则正常


疑问?
虚拟机和实体机应该有区别?
那如果这样,有什么办法能让虚拟机中的ISO文件正常识别和引导,如果不行,那以后大家测试ISO中PE引导不是非常不便捷了?还是要等VMware新版?

2#
发表于 2023-7-22 20:18:26 | 只看该作者
本帖最后由 2012jiashanni 于 2023-7-22 20:20 编辑

目前测试发现 低于10.0.22621.1702版本的PE 已经在安装win11 10.0.22621.1848的机器上无法本地启动PE了  估计部分机型补丁已经生效了 接下来的PE估计要高于1702版本的才能正常使用

点评

实机测试21年的老内核pe(Windows 10 64Bit 10.0.19043.928 PE)在打了这个补丁后都可以正常启动,前提是要替换EFI/BOOT路径下的bootx64.efi成新版就可以正常启动了  详情 回复 发表于 2023-7-22 22:20
回复

使用道具 举报

3#
发表于 2023-7-22 21:01:52 | 只看该作者
哎呦我去,图片能不能再模糊一些

点评

可以点开看的,这几张图,要了老命了,通过图库转存的。我都服了。  详情 回复 发表于 2023-7-22 21:06
回复

使用道具 举报

4#
 楼主| 发表于 2023-7-22 21:06:21 | 只看该作者
shan 发表于 2023-7-22 21:01
哎呦我去,图片能不能再模糊一些

可以点开看的,这几张图,要了老命了,通过图库转存的。我都服了。

点评

是可以点开看,不过我这儿点开看还是一样模糊,不知道是我的个例还是都这样  详情 回复 发表于 2023-7-22 21:27
回复

使用道具 举报

5#
发表于 2023-7-22 21:17:07 | 只看该作者
看看            
回复

使用道具 举报

6#
发表于 2023-7-22 21:27:42 | 只看该作者
netsurf 发表于 2023-7-22 21:06
可以点开看的,这几张图,要了老命了,通过图库转存的。我都服了。

是可以点开看,不过我这儿点开看还是一样模糊,不知道是我的个例还是都这样
回复

使用道具 举报

7#
发表于 2023-7-22 21:29:47 | 只看该作者
密切关注中...
回复

使用道具 举报

8#
发表于 2023-7-22 21:40:49 | 只看该作者
图片没一个能看清的

点评

刷新一下,编辑了多次,才能看清楚,不支持外链,又图库转的,很是烦  详情 回复 发表于 2023-7-22 22:32
回复

使用道具 举报

9#
发表于 2023-7-22 22:04:13 | 只看该作者
实机测试微PE2.3(安装到U盘里面的,没测试ISO)可以启动;另外只需要替换EFI/BOOT下的bootx64.efi成新版就可以正常启动了,SkuSiPolicy.p7b不用替换的(也是实机测试的)

点评

收到,谢谢反馈  详情 回复 发表于 2023-7-22 22:31
回复

使用道具 举报

10#
发表于 2023-7-22 22:20:58 | 只看该作者
2012jiashanni 发表于 2023-7-22 20:18
目前测试发现 低于10.0.22621.1702版本的PE 已经在安装win11 10.0.22621.1848的机器上无法本地启动PE了  估 ...

实机测试21年的老内核pe(Windows 10 64Bit 10.0.19043.928 PE)在打了这个补丁后都可以正常启动,前提是要替换EFI/BOOT路径下的bootx64.efi成新版就可以正常启动了

点评

打了补丁,这补丁实际启用了没。 那个证书文件在pe中是不是可以不用?  详情 回复 发表于 2023-7-22 22:48
回复

使用道具 举报

11#
 楼主| 发表于 2023-7-22 22:31:22 | 只看该作者
ljq0527 发表于 2023-7-22 22:04
实机测试微PE2.3(安装到U盘里面的,没测试ISO)可以启动;另外只需要替换EFI/BOOT下的bootx64.efi成新版就 ...

收到,谢谢反馈
回复

使用道具 举报

12#
 楼主| 发表于 2023-7-22 22:32:30 | 只看该作者
schdtv 发表于 2023-7-22 21:40
图片没一个能看清的

刷新一下,编辑了多次,才能看清楚,不支持外链,又图库转的,很是烦
回复

使用道具 举报

13#
发表于 2023-7-22 22:42:44 | 只看该作者
感谢楼主教程
回复

使用道具 举报

14#
发表于 2023-7-22 22:45:19 | 只看该作者
感谢教程
回复

使用道具 举报

15#
发表于 2023-7-22 22:48:02 | 只看该作者
ljq0527 发表于 2023-7-22 22:20
实机测试21年的老内核pe(Windows 10 64Bit 10.0.19043.928 PE)在打了这个补丁后都可以正常启动,前提是 ...

打了补丁,这补丁实际启用了没。
那个证书文件在pe中是不是可以不用?

点评

同样的PE,没启用之前正常启动,启用之后进PE就如下图蓝屏了,[attachimg]529548[/attachimg] 下图是启用后系统日志1035号的截图: [attachimg]529549[/attachimg] 然后只更新了bootx64.efi这个文件就正常启动  详情 回复 发表于 2023-7-23 00:21
回复

使用道具 举报

16#
发表于 2023-7-22 23:09:17 | 只看该作者
感谢教程
回复

使用道具 举报

17#
发表于 2023-7-23 00:21:32 | 只看该作者
2012zhd 发表于 2023-7-22 22:48
打了补丁,这补丁实际启用了没。
那个证书文件在pe中是不是可以不用?

同样的PE,没启用之前正常启动,启用之后进PE就如下图蓝屏了,

下图是启用后系统日志1035号的截图:


然后只更新了bootx64.efi这个文件就正常启动了,我看其他能启动的PE都引导里面都没有那个证书文件,我也没放,结果还是正常启动PE,正常系统不放那个证书能不能正常启动就不知道了。

点评

非常感谢,学习了。  详情 回复 发表于 2023-7-23 01:59
回复

使用道具 举报

18#
发表于 2023-7-23 01:59:43 | 只看该作者
ljq0527 发表于 2023-7-23 00:21
同样的PE,没启用之前正常启动,启用之后进PE就如下图蓝屏了,

下图是启用后系统日志1035号的截图:

非常感谢,学习了。
回复

使用道具 举报

19#
发表于 2023-7-23 02:17:15 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

20#
发表于 2023-7-23 09:36:08 | 只看该作者
感谢分享!
回复

使用道具 举报

21#
发表于 2023-7-23 12:02:07 | 只看该作者
回复

使用道具 举报

22#
发表于 2023-7-23 14:12:49 | 只看该作者
密切关注,生怕急用时抓瞎,不过目前还没遇到不能启动的
回复

使用道具 举报

23#
发表于 2023-7-24 00:11:26 | 只看该作者
感谢分享。
回复

使用道具 举报

24#
发表于 2023-7-24 01:24:18 | 只看该作者
谢谢分享!
回复

使用道具 举报

25#
发表于 2023-7-24 01:39:42 | 只看该作者
图片还能再模糊点吗?
回复

使用道具 举报

26#
发表于 2023-7-24 08:38:45 | 只看该作者
看样子就是换bootx64.efi就能解决?
回复

使用道具 举报

27#
发表于 2023-7-24 08:57:06 | 只看该作者
这个图片糊的看不清啊
回复

使用道具 举报

28#
发表于 2023-7-24 09:56:36 | 只看该作者
感谢分享
回复

使用道具 举报

29#
发表于 2023-7-28 22:36:20 | 只看该作者
和规范化个
回复

使用道具 举报

30#
发表于 2023-7-29 09:10:14 来自手机 | 只看该作者
看看
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-22 10:13

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表