针对你的两个核心问题，我来逐一梳理解答：

一、Secure Boot禁用时，能否通过OS终端删除PK密钥？ #

答案是通常不行，核心逻辑如下：

• PK（Platform Key）属于UEFI固件层面的根密钥，存储在固件专属的存储区域，而非操作系统的文件系统中，操作系统没有权限直接操作这部分内容。
• 即使Secure Boot处于禁用状态，删除PK以进入Setup Mode的操作，几乎所有厂商都限制为只能在UEFI/BIOS设置界面中手动完成——终端环境没有对应的权限和接口来触发固件密钥的操作。
• 少数第三方UEFI工具声称能在OS下操作固件，但这类工具不仅需要极高的系统权限，还受限于厂商的固件锁机制，绝大多数消费级设备不支持，且操作失误极易导致固件损坏，不建议尝试。

简单来说，想删除PK进入Setup Mode，还是得通过BIOS/UEFI界面操作，终端这条路走不通。

二、Secure Boot禁用的Windows环境下，恶意程序能否篡改Secure Boot密钥？ #

正常情况下不可能，理由如下：

• 固件的密钥存储区域是硬件级隔离的，操作系统（包括Windows）在运行时无法直接访问这一区域，Secure Boot禁用只是关闭了启动链的验证逻辑，并没有开放固件密钥的修改权限。
• 修改Secure Boot密钥的前提是进入Setup Mode，而进入该模式需要先删除PK——这一步必须通过UEFI/BIOS界面操作，且如果设置了BIOS密码，还需要验证密码，恶意程序在OS层面完全无法完成这个流程。
• 极端情况下，如果设备存在未修复的UEFI固件漏洞，恶意程序可能利用漏洞篡改密钥，但这属于个别案例，并非普遍情况，且厂商通常会通过固件更新修复这类漏洞。

结合你的双系统场景：只要你给UEFI/BIOS设置了密码，防止他人物理访问修改，那么即使Windows中安装了恶意程序，也无法篡改你的自定义安全启动密钥，完全可以放心使用。

备注：内容来源于stack exchange，提问作者astroboy