重要！ 切勿从官方消息源以外的任何地方下载Kali Linux图像。 务必根据我们的官方价值确认已下载文件的SHA256校验和。 恶意实体很容易修改Kali安装以包含漏洞或恶意软件并非正式托管

哪里可以得到官方的Kali Linux 镜像？

针对英特尔处理器电脑的ISO 文件

为了在标准Windows和Apple PC上的USB驱动器上运行Kali“Live”，您需要32位或64位格式的Kali Linux可启动ISO映像。

如果您不确定要在Linux或OS X上运行Kali的系统体系结构，则可以运行命令

uname -m

在命令行。 如果获得响应“x86_64”，请使用64位ISO映像（文件名中包含“amd64”的映像）; 如果您获得“i386”，请使用32位图像（文件名中包含“i386”的图像）。 如果您使用的是Windows系统，则确定您的架构是否在微软网站上详细说明的过程。

Kali Linux镜像可以直接下载“.iso / .img”文件或“.torrent”文件。

Official Kali ISOs for Intel-based PCs

构建您自己的Kali Linux ISO（PE启动盘安装），标准或定制的，is a very simple process

VMware镜像

如果您想在VMware下将Kali Linux作为“guest”运行，则Kali将作为预安装的VMware虚拟机提供，且已安装VMware Tools。 VMware映像以64位（amd64），32位（i686）和32位PAE（i486）格式提供。

.Official Kali Linux VMware Images

ARM镜像

基于ARM的设备的硬件体系结构差异很大，因此不可能拥有适用于所有设备的单个映像。 针对ARM架构预先构建的Kali Linux映像可用于各种设备。

验证你下载的Kali Linux 镜像

为什么我需要这么做？

在运行Kali Linux Live之前，或将其安装到您的硬盘上之前，您需要确定实际上是Kali Linux，而不是冒名顶替者。 Kali Linux是一款专业的渗透测试和取证工具包。 作为专业的渗透测试人员，对工具的完整性有绝对的信心是至关重要的：如果您的工具不可靠，您的调查也将不可信。

此外，作为领先的渗透测试分布，Kali的强项意味着假如部署在不知情的情况下，Kali Linux的虚假版本可能会造成巨大的损失。 有很多人有很多理由想要将粗略的东西粘贴到看起来像Kali 的东西上，而你绝对不希望发现自己正在运行类似的东西。

避免这个是简单的

• 只需要在Kali Linux 官方页面下载 https://www.kali.org/downloads or https://www.offensive-security.com/kali-linux-vmware-arm-image-download/ - 如果没有SSL，您将无法浏览到这些页面：加密连接使攻击者使用“中间人”攻击来修改下载更加困难。 即使这些来源也存在一些潜在的弱点 - 请参阅上节 verifying the download with the SHA256SUMS 文件及其对Kali开发团队私人密钥的签名，以获得更接近绝对保证的内容。
• 一旦你下载了一个图像，并且在你运行之前，通过使用下面详述的一个程序验证它的校验和，总是验证它是否应该是它应该是的。

有几种验证下载的方法。 每个都提供一定程度的保证，并且涉及到相应的努力水平。

您可以从官方的Kali Linux“下载”镜像下载ISO镜像，计算ISO的SHA256散列并通过检查将其与Kali Linux站点上列出的值进行比较。这很快且容易，但是可能通过DNS中毒而受到颠覆：它假设例如“kali.org”域所解析的网站实际上是实际的Kali Linux网站。如果它不知道，攻击者可以在假网页上显示“加载”的图像和匹配的SHA256签名。请参阅下面的“手动验证ISO上的签名（直接下载）”部分。

您可以通过种子下载ISO映像，并且还会下载包含计算出的SHA256签名的文件 - 无符号文件。然后，您可以使用shasum命令（在Linux和OS X上）或实用程序（在Windows上）自动验证文件的计算签名是否与辅助文件中的签名相匹配。这比“手动”方法更容易，但也有同样的弱点：如果你下拉的洪流不是真的Kali Linux，它仍然可以有一个很好的签名。请参阅下面的“使用包含的签名文件验证ISO上的签名（Torrent下载）”部分。

为了尽可能接近你所获得的Kali Linux下载是真实的，你可以下载一个明文签名文件和已经用官方Kali Linux私钥签名的相同文件的版本，以及首先使用GNU Privacy Guard（GPG），验证计算的SHA256签名和明文文件中的签名是否匹配，然后验证包含SHA256哈希的签名版本是否已正确使用官方密钥签名。

如果你使用这个更复杂的过程，并成功地验证你下载的ISO，你可以继续相当完整的保证，你得到的是官方图像，并且没有任何篡改。这种方法虽然最复杂，但具有提供图像完整性的独立保证的优点。这种方法失败的唯一方法是，如果官方的Kali Linux私钥不仅被攻击者破坏，而且随后也不会被Kali Linux开发团队撤销。有关此方法，请参阅使用SHA256SUMS文件进行验证的部分。

我需要做什么？

如果你在Linux上运行，你可能已经安装了GPG（GNU Privacy Guard）。 如果您使用的是Windows或OS X，则需要为您的平台安装适当的版本。

如果您使用的是运行Windows的PC，请从此处下载并安装GPG4Win。

如果您使用的是运行OS X的Macintosh，请从此处下载并安装GPGTools。 由于Windows不具备计算SHA256校验和的本机功能，因此您还需要一个实用程序（如Microsoft File Checksum Integrity Verifier或Hashtab）来验证您的下载。

一旦你安装了GPG，你需要下载并导入Kali Linux官方密钥的副本。 使用以下命令执行此操作：

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --import

或者这个命令

$ gpg --keyserver hkp://keys.gnupg.net --recv-key 7D8D0BF6

你的输出应该是像这样的：

gpg: key 7D8D0BF6: public key "Kali Linux Repository <devel@kali.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

使用以下命令验证密钥是否已正确安装：

gpg --fingerprint 7D8D0BF6

这个输出应该像这样的

pub   rsa4096 2012-03-05 [SC] [expires: 2021-02-03]
      44C6 513A 8E4F B3D3 0875  F758 ED44 4FF0 7D8D 0BF6
uid           [  full  ] Kali Linux Repository <devel@kali.org>
sub   rsa4096 2012-03-05 [E] [expires: 2021-02-03]

你现在已经准备好验证你的Kali Linux下载了。