El cargador de arranque no estará encriptado, ya que primero necesita cargar el servicio LVM.
Una posible forma de instalar un script malicioso es corromper el código que le pedirá la contraseña, pero no puede acceder a su contraseña directamente
Sin embargo, aún puede cifrar / arrancar usando LUKS y usar LVM sobre LUKS
Eche un vistazo a este enlace de ArchLinux, pero factible en Kali.
Además, puede usar GRUB desde una llave USB, que cargará el módulo de cifrado y arrancará desde el cifrado / boot
Eso es un poco excesivo, ¡pero espero que responda a tu pregunta!