Как обновить переменную dbx с файлом списка отзыва UEFI?
Это делает то, что вы хотите:
$ awk -F'' '$2{print $2}' someFile
Это работает путем определения разделяемого аргумента, который соответствует началу и окончанию $2. Остаток напечатает $2, если он определен.
Пример
$ cat someFile
!DOCTYPE html PUBLIC "-//IETF//DTD HTML 2.0//EN">
A Small Hello
hello world
hello world
hello world
hello world
Hi
This is very minimal "hello world" HTML document.
Выход:
$ awk -F'' '$2{print $2}' someFile
hello world
hello world
hello world
hello world
Ссылки
Это зависит от того, какие сертификаты KEK есть у аппарата.
Если у него есть сертификат KEK, для которого у вас есть закрытый ключ, вы можете удалить существующую подпись в начале файла dbxupdate_x64.binи подписать полученный EFI _ПОДПИСЬ _СПИСОК (Я видел суффикс .eslдля него )с вашим собственным сертификатом KEK, и тогда вы сможете применить его к переменной безопасной загрузки dbx, например, команда efi-updatevarиз efitools jejb .
Если мой быстрый обратный инжиниринг файла dbxupdate_x64.binверен, вы можете
dd if=dbxupdate_x64.bin of=dbxupdate_x64.esl bs=1 skip=3349
, чтобы удалить подпись в начале этого выпущенного файла обновления и создать файл EFI _SIGNATURE _LIST, который затем можно повторно -подписать с помощью собственного сертификата KEK.
(Примечание. :это будет действительно только для файла dbxupdate_x64.bin, выпущенного 29 июля 2020 г. В любых других версиях длина заголовка может отличаться. И даже с этой версией я мог что-то неправильно истолковать или просчитать.)
Если прошивка позволяет редактировать переменные безопасной загрузки напрямую, не проверяя подписи в меню «Настройка BIOS», можно сохранить dbxupdate_x64.binв системном разделе EFI, а затем отредактировать dbxпеременная, чтобы заменить ее существующее содержимое содержимым этого файла.Но технически это может быть уязвимостью системы безопасности само по себе :, позволяя программе настройки BIOS изменять параметры безопасной загрузки без ограничений, вероятно, это не то, что имели в виду разработчики безопасной загрузки.
Если прошивка позволяет вам удалить только первичный ключ безопасной загрузки (PK для краткости ), вы должны знать, что удаление PK должно перевести безопасную загрузку в так называемый режим настройки, в котором все безопасные загрузки переменные можно редактировать без требований к подписи, пока не будет определен новый ПК. (Это минимальная функциональность настройки BIOS, необходимая для полного контроля над конфигурацией безопасной загрузки.)
Но если у вас нет собственного сертификата KEK и вы не можете получить его в системе, вам придется получить эквивалентный подписанный файл обновления у поставщика оборудования или у того, у кого есть KEK для ваше оборудование.