Farok.
A Tails nagyszerű erre a célra; akkor sem kell aggódnia, ha SSD-meghajtót használ. Állítsa le, és minden eltűnik, amint a memória lebomlik.
Whonix.
Vegye figyelembe, hogy a Whonixot Live módban is lehet futtatni, így nem hagy nyomot, amikor leállítja a VM-eket, fontolja meg a dokumentációjuk elolvasását itt
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] és itt
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive . org ].
MacOS.
Vendég OS.
Térjen vissza egy korábbi pillanatfelvételre a Virtualboxon (vagy bármely más, Ön által használt VM-szoftveren), és végezzen Trim parancsot a Mac-jén a Disk Utility segítségével, a következő szakasz végén ismertetett módon újra végrehajtva egy elsősegélyt a Host OS-en.
Host OS.
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karantén adatbázis (a Gatekeeper és az XProtect által használt).
A MacOS (a Big Sur-ig bezárólag) egy Quarantine SQL adatbázist vezet a böngészőből valaha letöltött összes fájlról. Ez az adatbázis a ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 címen található.
Ön is lekérdezheti azt a következő parancs terminálból történő futtatásával: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Nyilvánvaló, hogy ez egy aranybánya a törvényszékiek számára, és ezt le kell tiltani:
- Futtassa a következő parancsot az adatbázis teljes törléséhez: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Futtassa a következő parancsot a fájl zárolásához és a további letöltési előzmények oda írásának megakadályozásához: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Végül a Gatekeeper teljes letiltása is lehetséges a következő parancs kiadásával a terminálban:
- sudo spctl --master-disable
További információkért olvassa el az útmutató ezen részét:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Ezen a kényelmes adatbázison kívül minden mentett fájl részletes fájlrendszeri HFS+/APFS attribútumokat is tartalmaz, amelyekből kiderül például, hogy mikor, mivel és honnan töltötték le.
Ezeket egyszerűen megtekintheti, ha megnyit egy terminált, és bármely böngészőből bármely letöltött fájlra beírja az mdls fájlnév és xattr -l fájlnév parancsot.
Az ilyen attribútumok eltávolításához manuálisan, a terminálból kell ezt megtennie:
- Az xattr -d com.apple.metadata:kMDItemWhereFroms fájlnév futtatásával távolítsa el az eredetet.
- Egyszerűen használhatja a -dr parancsot is, hogy rekurzívan elvégezze ezt egy egész mappán/lemezen.
- Futtassa a xattr -d com.apple.quarantine fájlnevet a karanténre való hivatkozás eltávolításához.
- A -dr paranccsal rekurzívan is elvégezheti az egész mappán/lemezen.
- Ellenőrizze a xattr --l fájlnév futtatásával, és nem szabad, hogy kimeneti eredményt kapjon.
(Vegye figyelembe, hogy az Apple eltávolította a kényelmes xattr -c opciót, amely egyszerre távolította el az összes attribútumot, így ezt minden egyes attribútumra meg kell tennie minden egyes fájlon).
Ezek az attribútumok és bejegyzések akkor is megmaradnak, ha törli a böngésző előzményeit, és ez nyilvánvalóan rossz az adatvédelem szempontjából (igaz?), és jelenleg nem ismerek olyan kényelmes eszközt, amely ezeket kezelné.
Szerencsére van néhány megoldás, amellyel elkerülhető ez a probléma, mivel ezeket az attribútumokat és bejegyzéseket a böngészők állítják be. Szóval, teszteltem különböző böngészőket (MacOS Catalina és Big Sur rendszeren), és itt vannak az eredmények az útmutató megjelenésének időpontjában:
| Böngésző | Karantén DB bejegyzés | Karantén fájl attribútum | Eredeti fájl-attribútum |
|---|
| Safari (Normál) | Igen | Igen | Igen |
| Safari (privát ablak) | Nem | Nem | Nem |
| Firefox (Normál) | Igen | Igen | Igen |
| Firefox (privát ablak) | Nem | Nem | Nem |
| Chrome (Normál) | Igen | Igen | Igen |
| Chrome (privát ablak) | Részleges (csak időbélyegző) | Nem | Nem |
| Ungoogled-Chromium (Normál) | Nem | Nem | Nem |
| Ungoogled-Chromium (privát ablak) | Nem | Nem | Nem |
| Bátor (Normál) | Részleges (csak időbélyegző) | Nem | Nem |
| Brave (privát ablak) | Részleges (csak időbélyegző) | Nem | Nem |
| Brave (Tor ablak) | Részleges (csak időbélyegző) | Nem | Nem |
| Tor böngésző | Nem | Nem | Nem |
Mint láthatod, a legegyszerűbb enyhítés, ha csak a Private Windows-t használod. Ezek nem írják ki ezeket az eredet/karantén attribútumokat, és nem tárolják a bejegyzéseket a QuarantineEventsV2 adatbázisban.
A QuarantineEventsV2 törlése a fentiek szerint egyszerű. Az attribútumok eltávolítása némi munkát igényel.
A Brave az egyetlen tesztelt böngésző, amely alapértelmezés szerint nem tárolja ezeket az attribútumokat a normál műveletek során.
Különböző leletek.
Ezen kívül a MacOS különböző naplókat tárol a csatlakoztatott eszközökről, a csatlakoztatott eszközökről, az ismert hálózatokról, az analitikáról, a dokumentumok felülvizsgálatáról...
Az útmutatónak ebben a részében talál útmutatást arról, hogy hol találja meg és hogyan törölheti ezeket a leleteket:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Ezek közül sok törölhető néhány különböző kereskedelmi harmadik féltől származó eszközzel, de én személy szerint az ingyenes és jól ismert Onyx használatát javasolnám, amelyet itt talál:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Sajnos zárt forráskódú, de közjegyzett, aláírt és évek óta megbízható.
Kényszerítsünk egy Trim műveletet a tisztítás után.
- Ha a fájlrendszered APFS, akkor nem kell aggódnod a Trim miatt, ez aszinkron módon történik, ahogy az operációs rendszer írja az adatokat.
- Ha a fájlrendszered HFS+ (vagy az APFS-től eltérő más), akkor a Lemezkezelő segédprogramból futtathatod a First Aid-et a rendszer meghajtón, amelynek a részletekben(https://support.apple.com/en-us/HT210898 [Archive.org]) el kell végeznie egy Trim műveletet.
Linux (Qubes OS).
Kérjük, vegye figyelembe az iránymutatásaikat
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Ha a Whonixot Qubes OS-en használja, kérjük, fontolja meg, hogy követi néhány útmutatásukat:
Linux (nem Qubes).
Vendég operációs rendszer.
Visszatérés a Virtualbox (vagy bármely más használt VM szoftver) vendég VM egy korábbi pillanatfelvételére, és a laptopon az fstrim --all paranccsal végezzen trim parancsot. Ez a segédprogram a Debian/Ubuntunál a util-linux csomag része, Fedorán pedig alapértelmezés szerint telepítve kell lennie. Ezután váltson a következő szakaszra.
Gazdag operációs rendszer.
Normális esetben nem kell nyomokat tisztítanod a Host OS-en belül, mivel mindent egy VM-ről csinálsz, ha ezt az útmutatót követed.
Ennek ellenére előfordulhat, hogy néhány naplót meg akar tisztítani. Csak használd ezt a kényelmes eszközt:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (utasítások az oldalon, a letöltéshez irány a kiadások, ez a tároló nemrég eltávolításra került).
A tisztítás után győződj meg róla, hogy telepítve van-e az fstrim segédprogram (Fedorán alapértelmezetten kell lennie), Debian/Ubuntunál pedig a util-linux csomag része. Ezután csak futtasd az fstrim --all parancsot a host operációs rendszeren. Ennek elegendőnek kell lennie az SSD meghajtókon, ahogy azt korábban elmagyaráztuk.
Fontolja meg a Linux Kernel Guard használatát kiegészítő intézkedésként
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Vendég operációs rendszer.
Visszaállítás egy korábbi pillanatfelvételre a Virtualboxon (vagy bármely más VM-szoftveren, amelyet használ), és hajtson végre egy trimmelési parancsot a Windowson az Optimize segítségével, ahogyan azt a következő szakasz végén elmagyarázzák.
Host OS.
Most, hogy volt egy csomó tevékenység a VM-ekkel vagy a Host OS-sel, érdemes egy pillanatra eltüntetni a nyomokat.
A legtöbb ilyen lépést nem szabad elvégezni a csali OS-en a hihető tagadhatóság használata esetén. Ennek az az oka, hogy az ésszerű, de nem titkos tevékenységek csalóka/hihető nyomait szeretné az ellenfél számára elérhetővé tenni. Ha minden tiszta, akkor gyanút kelthet.
Diagnosztikai adatok és telemetria.
Először is szabaduljunk meg minden olyan diagnosztikai adattól, ami még ott lehet:
(Hagyjuk ki ezt a lépést, ha Windows 10 AME-t használunk)
- A Windows-eszközök minden egyes használata után lépjen be a Beállítások, Adatvédelem, Diagnosztika és visszajelzés menüpontba, és kattintson a Törlés gombra.
Ezután véletlenszerűsítsük újra a virtuális gépeink MAC-címét és a host operációs rendszer Bluetooth-címét.
- A Windows VM-ünk minden egyes leállítása után változtassuk meg a MAC-címét a következő alkalomra a Virtualbox > VM kiválasztása > Beállítások > Hálózat > Speciális > MAC-cím frissítése menüpontban.
- A gazdalkalmazás Windows minden egyes használata után (a VM-nek egyáltalán nem szabad Bluetooth-nak lennie), menjen be az Eszközkezelőbe, válassza ki a Bluetooth-t, tiltsa le az eszközt, majd engedélyezze újra az eszközt (ez kikényszeríti a Bluetooth-cím véletlenszerű módosítását).
Eseménynaplók.
A Windows eseménynaplók sok különböző információt tárolnak, amelyek tartalmazhatják a tevékenységeid nyomait, például a csatlakoztatott eszközöket (beleértve például a Veracrypt NTFS
köteteket294), a hálózati kapcsolataidat, az alkalmazások összeomlásáról szóló információkat és a különböző hibákat. Mindig a legjobb, ha ezeket rendszeresen megtisztítja. Ne tegye ezt a Decoy OS-en.
- Indítsa el, keresse meg az Event Viewer nevet, és indítsa el az Event Viewert:
- Lépjen be a Windows naplóiba.
- Válassza ki és törölje mind az 5 naplót jobb klikk segítségével.
Veracrypt előzmények.
Alapértelmezés szerint a Veracrypt elmenti a nemrég csatlakoztatott kötetek és fájlok előzményeit. Biztosítania kell, hogy a Veracrypt soha ne mentse az előzményeket. Ismétlem, ezt ne tegye meg a csali operációs rendszeren, ha az operációs rendszerhez plauzible deniability-t használ. A csali kötet mountolásának előzményeit a hihető tagadhatóság részeként kell megőriznünk.
- A Veracrypt elindítása
- Győződjön meg róla, hogy a "Never saves history" (Soha nem menti az előzményeket) jelölőnégyzet be van jelölve (ezt nem szabad bejelölni a Decoy OS-en).
Most tisztítsa meg az előzményeket bármely használt alkalmazáson belül, beleértve a böngésző előzményeit, a sütiket, a mentett jelszavakat, a munkameneteket és az űrlap előzményeket.
Böngésző előzmények.
- Brave (abban az esetben, ha nem engedélyezte a kilépéskor történő tisztítást).
- Menjen a Beállítások
- Menj a Pajzsok menüpontba
- Menj a Böngészési adatok törlése menüpontba
- Válassza a Speciális
- Válassza a "Minden idő" lehetőséget
- Ellenőrizze az összes opciót
- Adatok törlése
- Tor böngésző
- Csak zárja be a böngészőt és minden megtisztul
Wi-Fi előzmények.
Most itt az ideje, hogy törölje a Wi-Fi előzményeit, amelyekhez csatlakozik. Sajnos a Windows továbbra is tárolja a korábbi hálózatok listáját a rendszerleíró adatbázisban, még akkor is, ha azokat "elfelejtette" a Wi-Fi beállításoknál. Tudomásom szerint ezeket még nem tisztítják segédprogramok (pl. BleachBit vagy PrivaZer), így ezt kézzel kell megtenned:
- Indítsa el a Regedit-et ezzel a bemutatóval: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- A Regediten belül írja be ezt a címsávba: Windows NT\CurrentVersion\NetworkList\Profiles
- Ott jobbra egy csomó mappát fog látni. Mindegyik mappa egy-egy "kulcs". Ezek a kulcsok mindegyike információkat tartalmaz a jelenleg ismert Wi-Fi vagy a korábban használt hálózatokról. Egyenként felfedezheti őket, és a jobb oldalon láthatja a leírást.
- Törölje az összes ilyen kulcsot.
Kagylótáskák.
Amint azt korábban már elmagyaráztuk, a Shellbags alapvetően a számítógépen lévő, megnyitott kötetek/fájlok előzményei. Ne feledje, hogy a Shellbags nagyon jó információforrás a törvényszéki szakértők
számára287, és ezeket meg kell tisztítania. Különösen akkor, ha bármilyen "rejtett kötetet" bárhová csatlakoztatott. Ismétlem, ezt nem szabad a Decoy OS-en megtennie.
- Shellbag Analyzer & Cleaner letöltése a https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org] oldalról
- Indítsa el
- Analyze
- Kattintson a Clean gombra és válassza ki:
- Törölt mappák
- Hálózati / külső eszközökön lévő mappák
- Keresés eredménye
- Válassza a Speciális
- Jelölje be az összeset, kivéve a két biztonsági mentési lehetőséget (ne készítsen biztonsági mentést).
- Válassza az SSD-tisztítást (ha van SSD-je)
- Válassza ki az 1 átjárást (All zero)
- Clean
Extra Tools tisztítás.
Miután megtisztította ezeket a korábbi nyomokat, akkor is használja a harmadik féltől származó segédprogramokat, mint lehet használni, hogy megtisztítsa a különböző nyomokat. Ezek közé tartoznak a törölt fájlok/mappák nyomai.
A folytatás előtt olvassa el a
H. függeléket: Windows tisztítóeszközök.
PrivaZer.
Itt találja a PrivaZer programmal kapcsolatos lépéseket:
- A PrivaZer letöltése és telepítése a https://privazer.com/en/download.php [Archive.org] oldalról .
- Futtassa a PrivaZer telepítés után
- Ne használja a varázslót
- Válassza a Speciális felhasználó lehetőséget
- Válassza a Scan in Depth opciót és válassza ki a célpontot
- Válasszon ki mindent, amit vizsgálni szeretne, és nyomja meg a Scan
- Válassza ki, hogy mit szeretne megtisztítani (hagyja ki a héjzacskó részt, mivel erre a másik segédprogramot használta).
- Ha SSD-t használsz, akkor hagyd ki a szabad hely tisztítása részt, és helyette használd a Windows natív Optimalizálás funkcióját (lásd alább), ami több mint elég lesz. Én ezt csak HDD meghajtónál használnám.
- (Ha a Free Space cleaning (Szabad hely tisztítása) opciót választotta) Válassza a Clean Options (Tisztítási beállítások) opciót, és győződjön meg róla, hogy a tároló típusa jól felismerhető (HDD vs SSD).
- (Ha a Free Space cleaning (Szabad hely tisztítás) opciót választotta) Within Clean Options (Legyen óvatos ezzel az opcióval, mivel törli az összes szabad helyet a kiválasztott partíción, különösen, ha a csaló operációs rendszert futtatja. Ne törölje a szabad helyet vagy bármi mást a második partíción, mivel ezzel a Rejtett operációs rendszerének tönkretételét kockáztatja).
- Ha SSD meghajtóval rendelkezik:
- Biztonságos felülírás lap: Személy szerint én csak a Normál törlés + Trim (a Trim önmagában elég lesz) opciót választanám. A Secure Deletion with Trim (1 pass) itt felesleges és túlzás lehet, ha amúgy is felül kívánja írni a szabad helyet.
- Szabad hely lap: Én személy szerint, és ismét "csak a biztonság kedvéért", a Normál törlés opciót választanám, amely a teljes szabad helyet feltölti adatokkal. Nem igazán bízom a Smart Cleanupban, mivel az nem tölti fel ténylegesen az SSD teljes szabad helyét Adatokkal. De ismétlem, szerintem erre valószínűleg nincs szükség, és a legtöbb esetben túlzás.
- Ha HDD meghajtóval rendelkezik:
- Biztonságos felülírás lap: Én csak a Biztonságos törlést (1 lépés) választanám.
- Szabad hely: Én csak az Intelligens tisztítás opciót választanám, mivel nincs okunk adatok nélküli szektorok felülírására egy HDD-meghajtón.
- Válassza ki a Takarítás és Válassza ki az ízlését:
- A Turbo Cleanup csak normál törlést végez (HDD/SSD-n), és nem tisztítja meg a szabad helyet. Nem biztonságos sem HDD-n, sem SSD-n.
- A Gyorstisztítás biztonságos törlést (HDD-n) és normál törlést + trimmelést (SSD-n) végez, de nem tisztítja meg a szabad helyet. Szerintem ez elég biztonságos SSD-n, de HDD-n nem.
- A Normál tisztítás biztonságos törlést végez (HDD-n) és normál törlést + trimmelést (SSD-n), majd megtisztítja a teljes szabad helyet (Smart Cleanup HDD-n és Full Cleanup SSD-n), és biztonságosnak kell lennie. Szerintem ez az opció a legjobb HDD-re, de SSD-re teljesen túlzás.
- Kattintson a Clean (Tisztítás) gombra és várja meg a tisztítás befejezését. Eltarthat egy darabig, és a teljes szabad helyet megtölti adatokkal.
BleachBit.
Itt vannak a BleachBit lépései:
- https://www.bleachbit.org/download [Archive.org]
- BleachBit futtatása
- Tisztítson meg legalább mindent, ami ezekben a szakaszokban található:
- Deep Scan
- Windows Defender
- Windows Explorer (beleértve a Shellbags-t is)
- Rendszer
- Válassza ki az eltávolítandó nyomokat a listáról
- Ismét, mint az előző segédprogrammal, nem tisztítanám meg a szabad helyet egy SSD-meghajtón, mert úgy gondolom, hogy a Windows natív "optimalizáló" segédprogramja elég (lásd alább), és hogy a szabad hely feltöltése egy trim engedélyezett SSD-n csak teljesen túlzás és szükségtelen.
- Kattintson a Tisztítás gombra és várjon. Ez eltart egy darabig, és a teljes szabad helyet feltölti adatokkal mind a HDD-, mind az SSD-meghajtókon.
Kényszerítse a trimmelést a Windows Optimalizálással (SSD-meghajtók esetében).
Ezzel a natív Windows 10 segédprogrammal egyszerűen kiválthat egy Trim-et az SSD-lemezén, ami több mint elég kell legyen ahhoz, hogy biztonságosan megtisztítsa az összes olyan törölt fájlt, amely valahogyan elkerülte volna a Trim-et törléskor.
Csak nyissa meg a Windows Intézőt, kattintson a jobb gombbal a Rendszer meghajtójára, majd kattintson a Tulajdonságok gombra. Válassza az Eszközök lehetőséget. Kattintson az Optimalizálás, majd ismét az Optimalizálás gombra. Kész is van. Azt hiszem, ez véleményem szerint valószínűleg elég.
