要在标准 Windows 和 Apple 计算机上从 USB 驱动器运行“Live”Potassium，您需要一个可引导的 32 位或 64 位 Linux Kali ISO 映像格式。

基于 Intel 平台的计算机的 ISO 文件

如果您不确定要运行 Kali 的系统结构（在 Linux 或 OS X 上），您可以在命令行运行以下命令：

 unname-m 

如果您收到响应“x86_64”，请使用 64 位 ISO 映像（映像文件名中包含“amd64”）。如果您收到“i386”响应，请使用 32 位图像（文件名中包含“i386”的图像）。如果您使用的是 Windows 系统，请检查您的计算机的硬件配置、信息和笔记本电脑，看看它运行的是 Windows x86 还是 x64。

Kali Linux 映像以“.iso/.img”文件的形式提供，可以直接或通过以下方式下载' .torrent ' 文件.

构建自己的 Kali Linux ISO，标准或自定义，是一个非常简单的过程。

VMware 映像

如果您想在 VMware 中以“来宾”身份运行 Kali Linux，Kali 将充当内置 VMware 工具的 VMware 虚拟机。 VMware Image 提供 64 位 (amd64)、32 位 (i686) 和 32 位 PAE (i486) 格式。

ARM 图像

基于 ARM 的设备的硬件结构差异很大，因此不可能只有一个图像适用于所有设备。 Potassium Linux Image 是为适用于多种设备的 ARM 架构创建的。

GitHub 上也提供了构建自己的 ARM Image 的脚本。

验证下载的 Kali 图片

为什么需要这样做？

在您运行 Kali Linux Live 或将其安装到您的硬盘之前，您需要确保您所拥有的是真正的 Kali Linux，而不是另一个假软件。 Kali Linux 是一个专业的渗透测试工具集。作为专业的渗透测试工具，绝对保证工具的完整性很重要：如果工具不可靠，测试结果将不值得。信任。

此外，由于它是领先的渗透测试发行版，假冒的 Kali Linux 版本如果被意外部署，可能会产生巨大的影响。有很多人不小心安装了假的 Kali Linux 版本，你当然不想成为其中之一。

避免这种情况很简单：

1. 仅通过官网https://www.kali.org/downloads或https://www.offensive-security.com/kali-linux-vmware下载Kali Linux-arm-image-download/ 。如果没有 SSL 加密，您将无法浏览这些页面-连接加密的类型使攻击者使用中间人攻击来修改进程。下载要困难得多。
2. 下载后和运行映像之前，请使用下面详述的过程之一再次验证。

有几种方法可以验证您的下载。每种方法都提供一定程度的保证，并需要相应的用户努力。

1. 您可以从 Kali Linux 官方下载页面下载 ISO 映像，计算 ISO SHA256 函数并与 Kali Linux 网站上列出的值进行比较。这既快速又简单，但很可能容易受到恶意 DNS 感染——也就是说，攻击者会以某种方式“加载”图像和页面上的 SHA256 签名匹配。 Kali Linux 官方网站上的假网站。
2. 您可以通过种子下载 ISO 映像，它还会下载包含 SHA256 签名的文件。然后，您可以使用 shasum 命令（在 Linux 和 OS X 上）或实用程序（在 Windows 上）自动验证此文件的计算签名是否与辅助文件中的签名匹配。这比“手动”方法更容易，但他同样的弱点：如果你下载的种子不是真正的 Kali Linux，它会给你一个假签名。
3. 为确保 Kali Linux 已下载，您可以下载签名文件和使用 Kali Linux 官方私钥注册的同一文件的版本，并使用 GNU Privacy Guard。 (GPG) 来，首先验证计算出的SHA256签名和匹配文本文件中的签名匹配；其次，验证包含SHA256函数的文件版本是否已正确注册到官方密钥。

如果您使用这个更复杂的过程并成功验证下载的 ISO，您可以绝对确定您拥有的是官方图像，并且没有以任何方式被篡改。这种方法虽然最复杂，但具有独立保证图像完整性的优点。唯一可能导致此方法失败的是官方的 Kali Linux 密钥可能会被攻击者推翻。

你需要做什么？

1. 如果您在 Linux 上运行，您可能已经安装了 GPG (GNU Privacy Guard) 。如果您使用的是 Windows 或 OS X，则需要为您的平台安装适当的版本。
2. 如果您使用的是 Windows PC，请下载并安装 GPG4Win：https://www.gpg4win.org/download.html
3. 如果您使用的是运行 OS X 的 Macintosh，请下载并安装 GPGTools：https://gpgtools.org/

由于 Windows 无法计算 SHA256 校验和，您还需要 Microsoft File Checksum Integrity Verifier 或 Hashtab 等实用程序来验证您的下载。

1. 安装 GPG 后，需要下载并导入 Kali Linux 的官方副本。使用以下命令执行此操作：

 $ wget-q-O-https://www.kali.org/archive-key.asc | gpg--import 

或命令：

 $ gpg--keyserver hkp://keys.gnupg.net--recv-key 7D8D0BF6 

1. 您将看到的结果如下：

 gpg: key 7D8D0BF6: public key "Kali Linux Repository  "imported 
 gpg: 处理总数: 1 
 gpg: 导入: 1 (RSA: 1) 

1. 使用以下命令验证锁是否安装正确：

 gpg--fingerprint 7D8D0BF6 

1. 结果如下：

 pub rsa4096 2012-03-05 [SC] [expires: 2021-02-03] 
 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 
 uid [完整] Kali Linux 存储库 
 sub rsa4096 2012-03-05 [E] [expires: 2021-02-03] 

您现在已设置好验证您的 Kali Linux 下载。

如何验证下载的图片？

在 ISO 上手动验证签名（直接下载）

如果您直接从下载页面下载了 ISO，请按照以下步骤进行验证。

在 Linux 或 OS X 上，您可以使用以下命令从下载的 ISO 映像创建 SHA256 校验和（假设 ISO 映像名为“linux-linux.2-amd64.iso” 并且在当前行中）。在列表中）：

 shasum-a 256 钾-linux-2016.2-amd64.iso 

结果如下：

 1d90432e6d5c6f40dfe9589d9d0450a53b0add9a55f71371d601a5d454fa0431 钾-linux-2016.2-amd64.iso 

SHA256签名结果，'1d90432e6d5c6f40dfe9589d9d0450a53b0add9a55f71371d601a5d454fa0431'将匹配官方下载页面的'sha256sum'栏显示的签名适用于 Intel 64 位结构 Kali Linux 2016.2 ISO Image。

使用文件附件签名验证 ISO 上的签名（下载 Torrent）

如果你已经通过torrent下载了ISO Kali Linux Image的副本，除了ISO文件（例如linux-2016.2-amd64.iso），还会有第二个文件包含为 ISO 计算的 SHA256 签名，扩展名为“.txt.sha256sum”（例如：linux-2016.2-amd64.txt.sha256sum）。您可以使用此文件在 Linux 或 OS X 上验证下载的真实性，如下所示命令：

 grep 钾-linux-2016.2-amd64.iso 钾-linux-2016.2-amd64.txt.sha256sum | shasum-a 256-c 

如果图片认证成功，收到的响应如下：

钾-linux-2016.2-amd64.iso：好的

重要提示！如果您无法如上节所述验证下载的 Kali Linux 镜像的真实性，请不要使用它！它的使用可以危害您的系统tem、您连接到的任何网络以及该网络上的其他系统。停止并确保您已下载官方 Kali Linux 映像。

使用 SHA256SUMS 文件验证 ISO

这是一个更复杂的过程，但提供了更准确的验证级别：它不依赖于你下载图像的站点的完整性，只依赖于官方的 Kali您独立安装的 Linux 开发密钥。要以这种方式验证您的映像是否适用于英特尔架构版本的 Kali，您需要从当前版本的 Kali“Live CD 映像”页面下载三个文件（v2016.2，通过 post write这）：

1. ISO 镜像密钥（例如 linux-linux-2016.2-amd64.iso）
2. 针对 ISO、SHA256SUMS 计算包含 SHA256 函数的文件
3. 该文件的注册版本，SHA256SUMS.gpg

在验证镜像校验和之前，必须确保文件SHA256SUMS是由Kali创建的文件。这就是为什么该文件是由Kali官方密钥注册的，带有单独的签名在 SHA256SUMS.gpg 中。如果您还没有这样做，可以使用以下命令下载 Kali 的官方密钥并将其输入到您的钥匙串中：

 $ wget-q-O-https://www.kali.org/archive-key.asc | gpg--import 

或者这个命令：

 $ gpg--keyserver hkp://keys.gnupg.net--recv-key 7D8D0BF6 

结果会如下所示：

 gpg: key 7D8D0BF6: public key "Kali Linux Repository  "导入 
 gpg: 处理总数：1 
 gpg: 导入: 1 (RSA: 1) 

您应该使用以下命令验证密钥是否正确安装：

 gpg--fingerprint 7D8D0BF6 

结果如下：

 pub rsa4096 2012-03-05 [SC] [expires: 2021-02-03] 
 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 
 uid [完整] Kali Linux 存储库 
 sub rsa4096 2012-03-05 [E] [expires: 2021-02-03] 

一旦你下载了SHA256SUMS和SHA256SUMS.gpg，你可以验证签名如下：

 $ gpg--verify SHA256SUMS.gpg SHA256SUMS 
 gpg: 签名于 2017 年 3 月 16 日 08 : 45 : 45 2017 年秋季 MDT 使用 RSA 密钥 ID 7D8D0BF6 
 gpg: 来自“Kali Linux 存储库  " 

1. 如果您没有收到“良好的签名”消息或锁 ID 不匹配，那么您应该停止并检查下载。验证失败表明图像可能已被篡改与。
2. 如果你收到了“Good signature”的回复，你现在可以放心，SHA256SUMS 文件中的校验和实际上是由 Kali Linux 开发团队提供的。完整验证是验证您从 ISO 下载的签名是否与 SHA256SUMS 文件中的签名匹配。您可以在 Linux 或 OS X 上使用以下命令执行此操作（假设 ISO 名为“linux-linux-2016.2-amd64.iso " 并且在当前目录中）：

 grep 钾-linux-2016.2-amd64.iso SHA256SUMS | shasum-a 256-c 

如果图片认证成功，响应如下：

钾-linux-2016.2-amd64.iso：好的

如果您没有收到“OK”响应，请停止并检查下载，因为您下载的 Potassium 图像似乎已被篡改。执行不要使用它。

下载并验证镜像后，您可以继续创建 Kali Linux Live 可以启动的 USB 驱动器。

查看更多：

1. 如何在 Kali Linux 上使用 Vega 扫描网站以查找潜在的安全漏洞
2. 如何使用 Linux Deploy 在 Android 上安装 Kali Linux
3. 来自 AZ 的 Kali Linux 命令和常用命令