El cargador de arranque no estará encriptado, ya que primero necesita cargar el servicio LVM.
Una posible forma de instalar un script malicioso es corromper el código que le pedirá la contraseña, pero no puede acceder a su contraseña directamente
Sin embargo, aún puede cifrar / arrancar usando LUKS y usar LVM sobre LUKS
Eche un vistazo a este enlace de ArchLinux, pero factible en Kali.
Además, puede usar GRUB desde una llave USB, que cargará el módulo de cifrado y arrancará desde el cifrado / boot
Eso es un poco excesivo, ¡pero espero que responda a tu pregunta!
Cuando arranque su máquina encriptada, debe tener un software capaz de pedirle la contraseña y descifrar suficientes datos para continuar el proceso de arranque.
Obviamente, este software debe estar en texto claro para ser ejecutable, no puede estar encriptado o esto crearía una gallina o el dilema del huevo.
De hecho, hay un ataque que aprovecha esto y se llama Evil Maid ataque donde el mensaje de LUKS genuino que solicita la contraseña de cifrado del disco duro se reemplaza por un mensaje idéntico generado por un software malicioso que recopilará su contraseña y de alguna manera la almacenará o enviará a los atacantes.
Es posible que algunos programas intenten detectar dicha modificación una vez que se inicie el equipo , pero esto puede ser demasiado tarde. ya que la contraseña ya puede haber sido enviada a través de la red. Algunos otros métodos que incluyen un chip TPM permiten una protección más temprana y efectiva.
Lea otras preguntas en las etiquetas encryption