[更新SIP配置方法简要说明] Apple SIP/Rootless安全技术介绍+测试分析及配置方法

linzhouyu

18320070639 发表于 2015-9-15 00:59
要怎样安装rc scripts   我现在用四叶草引导已经很完美了，只是不能用四叶草关闭SIP 重建缓存，权限只能在 ...

在clover的安装pkg文件自定义选项中，不过如果用win版clover那么可能无法只安装rc scripts

linzhouyu

18320070639 发表于 2015-9-15 01:41
只安装rc scripts，用四叶草注入013
可能会关闭SIP？

根据clover的源码来说注入csractiveconfig并不要求一定要安装rc scripts来模拟nvram保存。个人倒是怀疑与win版clover有关，有条件的话可安装最新版clover到u盘，加入配置文件等然后用u盘引导机子进入os x测试一下是否有成功注入。

linzhouyu

18320070639 发表于 2015-9-15 08:52
我安装过USB版的四叶草但是进入不了四叶草界面直接重启了

安装时是否选择了安装启动扇区？

linzhouyu

18320070639 发表于 2015-9-15 09:17
我按照那个教程来的，好像先格式化，然后拔下U盘，然后插上再用管理员权限运行一个文件，然后再插拔U盘， ...

不用这么麻烦，如果只是测试的话格式化成hfs+或fat32格式，用官方pkg安装即可，安装时选择安装启动扇区

linzhouyu

小蓝鱼 发表于 2015-9-15 11:06
写的这么复杂，直接告诉解决办法不就行了

最上方的就是解决办法  后面的正文部分我写的目的也不是面向所有人的

linzhouyu

18320070639 发表于 2015-9-15 21:01
我在修改苹果系统盘目录里的nvram.plist加入了077代码，发现SIP关闭了两和，但是并没有关闭驱动加载权限和文 ...

有2种可能，一种是写到nvram.plist中的值有问题。另一种是有其他csractiveconfig配置注入项的干扰。建议还是从clover的启动日志入手查看。
我本人也有机子是传统bios+clover的，使用clover注入没有任何问题，不过我clover是直接安装在硬盘/u盘上的

linzhouyu

18320070639 发表于 2015-9-15 22:32
后来我改了代码发现只有DT开头那项没关，其它全关了，我这样直接编辑苹果系统下的nvram会不会自动还原回 ...

如果没有装rc scripts的话，这个文件是不会被自动覆盖的

linzhouyu

18320070639 发表于 2015-9-15 22:32
后来我改了代码发现只有DT开头那项没关，其它全关了，我这样直接编辑苹果系统下的nvram会不会自动还原回 ...

如果没有装rc scripts的话，这个文件是不会被自动覆盖的

linzhouyu

18320070639 发表于 2015-9-15 22:45
加入csr-active-config
        
        zwAAAA==

写错数值了  如果需要注入0x67的话应该是ZwAAAA==
不过建议使用0x13就可以了，仅解锁文件系统和kext：EwAAAA==

linzhouyu

qq305552610 发表于 2015-9-21 10:12
安装环境下面用终端关闭出错,不知道何原因

这个并没有任何错误。提示中已经有写，需要重启才能生效。

linzhouyu

gujiangjiang 发表于 2015-9-24 01:31
我想知道USB的如何解决？我的USB是删除了Kext里面关于我机型的所有描述文件之后USB就自动好了，但是我想Clo ...

可以使用把需要注入的端口描述信息加入其他需要加载的第三方kext里，例如fakesmc，这样可以避免修改原版kext。dsdt中usb控制器的名称可以进行改动，与端口信息中的名称保持对应，这样就不会与原版kext中存在的端口信息冲突。

linzhouyu

gujiangjiang 发表于 2015-9-24 11:20
我试着把东西放入FakeSMC，但是好像没有作用，到底怎么放的？

把机型-控制器名称开头的字段整个复制到fakesmc并修改即可。如果要放fakesmc，请确保dsdt中的usb控制器名称已经修改  例如EHC1 -> EHCA  否则可能会仍然匹配到原版kext中info.plist里的信息。

linzhouyu

gujiangjiang 发表于 2015-9-24 13:21
圆满解决啦，我把改过的配置文件复制到了FakeSMC，然后把DSDT的EHCI和EHC2分别改成了XHC1和XHC2，把FakeS ...

解决就好 不客气～

linzhouyu

leedone 发表于 2015-10-4 06:02
楼主，为什么我把所有的 SIP 都关闭以后，把修改后的 AppleHDA.kext直接复制到 L/E 还是会弹出不能使用系统 ...

le目录是用来放第三方kext的。applehda属于修改系统原版的kext，需要配置好sip后放到sle替换原文件。 当然如果使用Applehda空壳配合clover kextpatch方式除外，那样的话可以把空壳kext放到le

linzhouyu

leedone 发表于 2015-10-4 08:37
啊。刚刚写了一堆。怎么没显示出来。。。
楼主，我是新手啊，我没有设置使用Applehda空壳配合clover kex ...

修复权限是必须的 否则kext无法加载 这个与sip无关

linzhouyu

leedone 发表于 2015-10-4 11:07
哦这样的。。。多谢大神救援正在改我刚刚生成的 DSDT.aml。我在 Windows 和 MAC 里都提取了 DSD ...

多看下坛子里的帖子吧   毕竟是黑果，折腾总是免不了的  需要时间

linzhouyu

zhoudb 发表于 2015-10-5 23:22
感觉和linux中的Selinux类似，都是限制root用户的权限

感觉在设计思想上确实从selinux有所借鉴

linzhouyu

zhoudb 发表于 2015-10-6 22:30
Selinux已经很成熟了，苹果的SIP还有待改进，而且Selinux一个配置文件全部搞定，比这个简单

确实  不过sip日后应该还会有一些扩展

linzhouyu

gujiangjiang 发表于 2015-10-7 01:45
多问一句，我觉得SIP开着挺好的，系统这样比较稳定和安全，我是装完系统后通过Clover关闭了SIP，然后装了个 ...

如果已经在kext签名保护关闭的情况下重建了缓存，那么这些未签名的kext就已经在缓存中了。此时开启整个sip也不会影响这些kext，只是如果下次重建缓存时会提示无法加载。
os x有时会在后台触发重建缓存的操作，例如有软件安装额外的kext或者系统版本更新时。

linzhouyu

fubu83 发表于 2015-10-7 10:51
我加了这个开机启动后还是无限重启。

无限重启不一定是sip配置导致的