[更新SIP配置方法简要说明] Apple SIP/Rootless安全技术介绍+测试分析及配置方法

linzhouyu

_awim 发表于 2016-5-8 10:51
FakePCIID.kext 可以载入，FakePCIID_HD4400_HD4600.kext 未载入。显卡驱动了，应该影响不大了。

kext签名保护已经被关闭了，这样的话与sip已经没有关系。应该是其他的原因导致无法加载，建议通过日志排查

linzhouyu

羁绊i 发表于 2016-5-9 21:50
你好，添加了你那个代码还是不能关闭SIP是什么原因呢？四叶草的

请放上目前的clover的配置文件，以及csrutil status命令的输出结果

linzhouyu

羁绊i 发表于 2016-5-9 22:50

应该是在配置文件中放错位置了。CsrActiveConfig是放在RtVariables下的，如果不确定的话建议用clover configurator添加。
0x67是clover注入的默认值，如果没有在配置文件中检测到有效的CsrActiveConfig的设置那么就会默认使用这个值。

linzhouyu

羁绊i 发表于 2016-5-10 01:32
请问能否用上面我发的config帮我注入一下，谢谢

已经帮你加了csractiveconfig字段，需要的值请自行修改

linzhouyu

口袋妖怪heart 发表于 2016-5-29 00:20
题外话：
xattr是干嘛的…

扩展文件属性
https://en.wikipedia.org/wiki/Extended_file_attributes

linzhouyu

我不要用户名 发表于 2016-5-29 11:35
从10.11.4开始，若有使用OsxAptioFixDrv-64.efi的话不解锁nvram限制会导致禁行。
不确定是否所有平台都是这 ...

确实有这样的情况，可能需要在efi驱动中作一些改动。
另外sip也在不断演进中，个人感觉作为黑果需要关闭哪些选项就关闭吧。。从安全角度上说既然已经使用了第三方的启动器，那么sip这些就加强安全性上也就聊胜于无了

linzhouyu

lokit 发表于 2016-5-31 06:35
请问怎样确定主板支持读写nvram?
还有在efi shell系统下的dmpstore命令有什么作用？我试着运行dmpstore -d ...

如果只是读写nvram那么支持uefi的主板应该都支持。
在这基础上，如可以不依赖Clover提供的EmuVariableUefi，os x也可以直接读写nvram，那么就是所谓的os x原生支持读写。
dumpstore这个命令应该是可以显示以及删除nvram变量的，不过不清楚您用的是bios自带的shell还是clover提供或其他的shell

linzhouyu

lokit 发表于 2016-5-31 17:37
那在没有用EmuVariableUefi情况下，又怎么确定os x直接读写了Nvram呢？
我用的是clover的efi shell,主板 ...

在os x下用nvram命令修改当前nvram中的值，重启之后如果依然存在那么就应该是支持读写。

linzhouyu

madwolfs 发表于 2016-6-23 10:50
无法通过 app store 升级新版本系统 10.11.3 升级10.11.5 跟这个有关系吗？

跟系统升级没有关系         

linzhouyu

口袋妖怪heart 发表于 2016-7-10 07:57
发现了个细节问题：
在敲入 chmod 755 AppleHDA.kext 时 Terminal没提示
i.e. SIP开启时 操作成功了？！

之前的权限是什么？755是正常的权限  
另外可以看看系统日志，如果被sip拦截会有deny file-write-mode

linzhouyu

dongxiaofeng121 发表于 2016-9-28 21:44
10.12中怎么关闭？

与10.11一样