警告：启用BlackLotus Bootkit防御后，大部分PE都不可用

AlphaRabbit

BlackLotus我相信在样本区呆过的人都知道这是啥。

什么你说你不知道？！那，看这里（别问我为啥放的是日语链接，最近认识了个樱花妹好闺蜜，所以我在学日语）：「BlackLotus」 UEFIブートキット：いま、そこにある現実の危機

然后微软也有对应的BlackLotus Bootkit防御措施：KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法

但是，如果你照着做了，你会发现：大部分Windows PE全都没法用了（会提示安全启动验证失败），这是为什么呢？

答案：微软将老版本Windows UEFI引导程序加入了“吊销列表”，如果你照着步骤操作的话，这些旧版本Windows UEFI引导程序的哈希和签名都会进入主板的NVRAM（非易失性存储器）中，然后在你清除NVRAM之前，这些参数依旧会存在。

（不同机器清除NVRAM的方法不一样，有些台式机压根就没这东西，你抠了CMOS电池，所有UEFI变量就全部丢失恢复默认了。而笔记本的话，扣电池没用的说~）

而大部分PE根本没有更新相关补丁，她们还在使用老版本的Windows UEFI引导程序，因此就会被更新了吊销列表的UEFI固件拦截。

就是这样。

shandian281

感谢分享。