VeraCrypt操作系统UEFI/GPT的自动修复
好的。因此,我使用VeraCrypt加密系统分区,现在Windows只启动其自动修复。在我认为是Windows环境的修复之后,我可以选择从USB启动,在那里我可以选择引导VeraCrypt加载程序。
首先,我使用BOOTICE (最新版本)修改UEFI引导条目,通过选择"Active“、”下次启动此条目“以及使用"Up”按钮将VeraCrypt放在列表的第一个位置,从而启动VeraCrypt加载程序。当我重新启动PC时,UEFI按其应有的方式引导VeraCrypt加载器,但当我关闭PC时,UEFI再次引导到,后者再次加载WindowsAutomatedRe修。这种描述可能有些不准确,因为我不太清楚UEFI引导是如何工作的,推荐我好好阅读;)。显然,在我的UEFI (在BIOS中)中,我找不到VeraCrypt引导选项,只有和EFI可供选择。如何在那里插入VeraCrypt加载程序?我的靴子安全了。
我还尝试使用,但这是一个“否”(它没有看到BCDEdit加载程序)。Visual编辑器也不是。我的系统是MSI H81-P33和i5-4690K与最新的BIOS。只有BOOTICE能起作用。
也许解决办法是修改来引导VeraCrypt加载程序,而不是Windows?这是一个可能的解决办法吗?我该怎么做?
BOOTICE未经修改的引导条目屏幕截图:
回答 4
Security用户
发布于 2016-09-30 11:21:19
好的,我想出了一个解决方案,即使在我关掉电脑之后,它也能工作。在BOOTICE中,我修改了Windows以加载"\EFI\VERACRYPT\DCSBOOT.EFI“( VeraCrypt加载器),而不是原始的VeraCrypt加载器(\EFI\MICROSOFT\BOOT\BOOTMGFW.EFI),并保存了它。我只修改了BOOTICE中的"Media file:“文本字段。当我重新打开BOOTICE以查看更改是否粘贴时,我注意到现在有两个单独的Windows条目:原始条目(我假设在更改它之后自动重新创建)和VeraCrypt加载程序路径更改的条目。
我的UEFI (BIOS)现在看到两个单独的条目(它们的名称相同,不需要更改,我猜是这样)。我希望它不会以任何方式损害我的安全性和Windows性能。我希望未来的任何Windows更新都不会破坏我的解决方案。
我意识到这是一个“肮脏”的解决方案,所以如果有人能更好地解决问题,那就太好了。
Security用户
发布于 2018-02-18 16:34:10
我的描述不再适用于Windows 1709。取得了更好的结果:
https://github.com/th-wilde/veracrypt-w10-patcher
注意,由于未来的Win10更新可以绕过修补程序,包括更改固件的主要安全修补程序,因此无法保证机器始终正常工作,例如Truecrypt与Win7的工作方式。虽然您可以恢复并回滚到最后一个好操作系统,但这可能需要很长时间。Bitlocker工作没有问题或在Win10主页,使用Veracrypt在文件容器模式是可靠的和可传输的。
Security用户
发布于 2017-06-01 11:06:48
这个员额过时了。为历史目的,仅作为让早期版本的VC运行困难的例子
2在AcerE5-575上运行的InsydeH20 V5.0UEFI "BIOS“:
安装所有最新的Win10更新
引导至UEFI,在启动过程中按下宏碁机器上的F2 2倍秒。
关闭安全引导一个关于照片,将其设置为“禁用”
在UEFI中很重要:设置系统管理和用户密码1个张照片,并设置密码启动选项。不要设置硬盘密码,因为它可能会干扰Win10更新。UEFI上的管理和用户密码将停止UEFI/BIOS接口上的所有Win10重新启动,以便您可以中断自动引导以更快地解决Veracrypt问题,并停止通过恶意软件直接写入UEFI。
运行Veracrypt 1.19磁盘分区加密
如果一次失败,再做一次。它应该通过第二次+尝试。如果没有通过救援磁盘引导。这是因为UEFI没有将硬盘中的位置或文件本身识别为“信任”,即引导程序。
如果Veracrypt仍然失败:停止,只在您了解UEFI、Veracrypt和Win10的情况下,如下面所写。
*如果Veracrypt仍然失败,但是在救援磁盘上启动时要小心,如上所述。*
Complete Veracrypt full disk encryption
Once completed, and reboots, enter UEFI/BIOS
Turn ON secure boot [ A on pic], it allows edits to boot files list to mark
them 'trusted' [2 on pic]
Edit secure boot file list
On the boot order screen, locate veracrypt and move it to the top of the
boot priority order. Move Windows Boot Manager to near bottom [B on pic].
Turn Secure Boot off, the Veracrypt bootloader will remain at the
top and the list of bootloaders is now not editable
Reboot 好好享受吧。
注意:安全引导必须永久关闭,因为Veracrypt签名不在固件中单独的UEFI安全引导表中。您可以生成一个并输入它,如Veracrypt论坛中所描述的,或者在没有安全引导的情况下运行。我建议关闭安全引导,因为Veracrypt签名生成脚本已经阻塞了一些UEFI/BIOS。恶意软件引导程序无法在UEFI中运行,因为要启动,必须将其添加到可信列表中,该列表只能在安全启动时才能完成,以编辑引导文件可信列表;如果没有UEFI管理密码以从安全引导关闭更改UEFI设置,恶意软件就无法这样做。到目前为止,rootkit恶意软件无法运行在UEFI预引导级别以下或处于UEFI预引导级别,就像我们今天所知道的那样,无法破解UEFI中的管理密码,因此即使在安全引导下,它仍然是安全的。在安全启动的情况下,如果恶意软件签名将自己添加到信任列表中,则固件中的安全引导表中仍然不存在恶意软件签名,因此无法运行。但是,Veracrypt有一个脚本可以将其签名添加到固件信任表结果好坏参半中,这样恶意软件就有可能在安全启动时也这样做。如果恶意软件试图模仿UEFI InsydeH20表中的可信文件并关闭安全引导,如果InsydeH20不使用签名来保护其完整性,则恶意软件可能会启动。前一篇文章显示另一个用户改名为veracryptb到并引导,显示模仿策略可以适用于。然而,由于在创建安全分区期间生成的密钥是每个引导加载程序所特有的,因此要模仿veracryptb引导加载程序并不容易,因此模拟程序很可能无法引导到veracrypt。以上仅适用于您的UEFI,YMMV的INsydeH20 UEFI实现。
除非确定,否则不要编辑TPM状态。如果不能在运行中生成签名,或者只能由工厂提供签名,则清除状态可能会使PC 3关于pic分块。
https://security.stackexchange.com/questions/138333
复制相似问题
腾讯云开发者
