|
|
本帖最后由 nianyueriPE 于 2024-8-2 23:18 编辑
利用泄露的安全启动测试密钥“DO NOT TRUST - AMI TEST PK”签署提取自fedora和ventoy的efi文件中的grubia32.efi和grubx64.efi以静默绕过uefi安全启动(受影响情况见https://baijiahao.baidu.com/s?id ... 3&wfr=spider&for=pc和https://www.bilibili.com/video/BV1Nz421i7Vs/),若主板包含泄露的安全启动测试密钥“DO NOT TRUST - AMI TEST PK”,将自己的32位efi文件命名为grubia32_real.efi,64位命名为grubx64_real.efi,即可静默绕过安全启动。
使用原版efi文件:需要shim手动导入证书
使用泄露的安全启动测试密钥“DO NOT TRUST - AMI TEST PK”签署的efi文件:静默绕过安全启动,启动示例ventoy的未签名efi文件(grubia32_real.efi,grubx64_real.efi)
注:如果主板不包含泄露的安全启动测试密钥“DO NOT TRUST - AMI TEST PK”,则无法绕过安全启动,需要自己导入相应证书。如果你的主板不包含泄露的安全启动测试密钥“DO NOT TRUST - AMI TEST PK”才需要导入,如果主板开启安全启动后引导我的efi文件显示如图一蓝屏,就是不含这个密钥,你可以在Windows下右键grubia32.efi或grubx64.efi,在“数字签名”页点击“详细信息”,再“查看证书”,在“详细信息”页点击复制到文件,导出cer证书放到efi分区下,重启电脑引导efi文件,出现蓝屏后按任意键进入导入证书的界面,选择 Enroll key from disk,找到 cer文件,选择 Continue,选择 Yes,在之后的菜单中选择 Reboot ,重启计算机就导入了证书,再次引导就可以了。
下载链接:https://nianyueripe.lanzoub.com/iMip1266reqh
统一回复:证书看上面的备注自己提取导入,如果要完整的签名证书+私钥请从http://bbs.wuyou.net/forum.php?mod=viewthread&tid=441680&extra=下载,签名使用Linux下的sbsigntools工具,设置系统时间在证书有效期内后用这个工具签署自己的efi文件
|
评分
-
查看全部评分
|
[复制链接]
IP卡
狗仔卡
发表于 2024-8-1 21:30:26
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主