Uodegos.
Tails" puikiai tinka šiam tikslui; jums nėra ko nerimauti, net jei naudojate SSD diską. Išjunkite jį, ir viskas dings, kai tik atmintis išnyks.
Whonix.
Atkreipkite dėmesį, kad "Whonix" galima paleisti "Live" režimu, nepaliekant jokių pėdsakų, kai išjungiate virtualiąsias mašinas, paskaitykite jų dokumentaciją čia
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] ir čia
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Kviestinė operacinė sistema.
Grįžkite prie ankstesnės "Virtualbox" (arba bet kurios kitos naudojamos virtualių mašinų programinės įrangos) momentinės nuotraukos ir atlikite "Trim" komandą "Mac" kompiuteryje naudodami "Disk Utility", vėl atlikdami pirmąją pagalbą priimančiojoje OS, kaip paaiškinta kito skyriaus pabaigoje.
Priimančioji OS.
Daugumą šio skyriaus informacijos taip pat galima rasti šiame gražiame vadove
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Karantino duomenų bazė (naudojama "Gatekeeper" ir "XProtect").
"MacOS" (iki "Big Sur" imtinai) saugo visų failų, kuriuos kada nors atsisiuntėte iš naršyklės, karantino SQL duomenų bazę. Ši duomenų bazė yra adresu ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Užklausą galite atlikti patys, terminale paleidę šią komandą: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Akivaizdu, kad tai yra kriminalistikos aukso kasykla, todėl turėtumėte tai išjungti:
- Įvykdykite šią komandą, kad visiškai išvalytumėte duomenų bazę: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Vykdykite šią komandą, kad užrakintumėte failą ir neleistumėte į jį įrašyti tolesnės atsisiuntimų istorijos: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Galiausiai galite visiškai išjungti "Gatekeeper", terminale pateikdami šią komandą:
- Sudo spctl --master-disable
Daugiau informacijos rasite šiame vadovo skyriuje
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Be šios patogios duomenų bazės, kiekvienas išsaugotas failas taip pat turės išsamius HFS+/APFS failų sistemos atributus, rodančius, pavyzdžiui, kada jis buvo atsisiųstas, su kuo ir iš kur.
Juos galite peržiūrėti tiesiog atsidarę terminalą ir bet kurioje naršyklėje įvesdami mdls filename ir xattr -l filename apie bet kurį atsisiųstą failą.
Norėdami pašalinti tokius atributus, turėsite tai padaryti rankiniu būdu iš terminalo:
- Norėdami pašalinti kilmę, paleiskite xattr -d com.apple.metadata:kMDItemWhereFroms filename
- Taip pat galite tiesiog naudoti -dr, kad tai atliktumėte rekursiškai visame aplanke ir (arba) diske
- Įvykdykite xattr -d com.apple.quarantine filename, kad pašalintumėte nuorodą į karantiną
- Taip pat galite tiesiog naudoti -dr, kad tai atliktumėte rekursiškai visame aplanke ir (arba) diske
- Patikrinkite paleisdami xattr --l filename ir išvesties neturėtų būti
(Atkreipkite dėmesį, kad "Apple" pašalino patogią xattr -c parinktį, kuri pašalindavo visus atributus iš karto, todėl turėsite tai atlikti kiekvienam kiekvieno failo atributui)
Šie atributai ir įrašai išliks, net jei išvalysite naršyklės istoriją, o tai akivaizdžiai kenkia privatumui (tiesa?), ir šiuo metu nežinau jokios patogios priemonės, kuri galėtų su jais susidoroti.
Laimei, yra keletas priemonių, kaip išvengti šios problemos, nes šiuos atributus ir įrašus nustato naršyklės. Taigi, išbandžiau įvairias naršykles ("MacOS Catalina" ir "Big Sur") ir štai rezultatai šio vadovo išleidimo dieną:
| Naršyklė | Karantino DB įrašas | Karantino failo atributas | Kilmės failo atributas |
|---|
| Safari (įprasta) | Taip | Taip | Taip |
| Safari (privatus langas) | Ne | Ne | Ne |
| "Firefox" (įprasta) | Taip | Taip | Taip |
| "Firefox" (privatus langas) | Ne | Ne | Ne |
| "Chrome" (įprasta) | Taip | Taip | Taip |
| "Chrome" (privatus langas) | Iš dalies (tik laiko žyma) | Ne | Ne |
| Ungoogled-Chromium (įprasta) | Ne | Ne | Ne |
| Ungoogled-Chromium (privatus langas) | Ne | Ne | Ne |
| Drąsus (įprastas) | Dalinis (tik laiko žyma) | Ne | Ne |
| Drąsus (privatus langas) | Dalinis (tik laiko žyma) | Ne | Ne |
| Brave (Tor langas) | Dalinis (tik laiko žyma) | Ne | Ne |
| Tor naršyklė | Ne | Ne | Ne |
Kaip matote patys, lengviausia sušvelninti padėtį yra tiesiog naudoti "Private Windows". Jie neįrašo tų kilmės / karantino atributų ir nesaugo įrašų QuarantineEventsV2 duomenų bazėje.
Išvalyti QuarantineEventsV2 lengva, kaip paaiškinta pirmiau. Atributų pašalinimas reikalauja šiek tiek darbo.
Brave yra vienintelė išbandyta naršyklė, kuri įprastomis operacijomis šių atributų pagal nutylėjimą nesaugo.
Įvairūs artefaktai.
Be to, "MacOS" saugo įvairius prijungtų įrenginių, prijungtų įrenginių, žinomų tinklų, analizės, dokumentų peržiūrų žurnalus...
Žr. šio vadovo skyrių, kuriame nurodoma, kur rasti ir kaip ištrinti tokius artefaktus:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Daugelį jų galima ištrinti naudojant įvairias komercines trečiųjų šalių priemones, tačiau asmeniškai rekomenduočiau naudoti nemokamą ir gerai žinomą "Onyx", kurią rasite čia:
https://www.titanium-software.fr/en/onyx.html [Archive.org] . Deja, ji yra uždaro kodo, tačiau yra notariškai patvirtinta, pasirašyta ir ja pasitikima jau daugelį metų.
Po valymo priverstinai atlikite Trim operaciją.
- Jei jūsų failų sistema yra APFS, jums nereikia jaudintis dėl Trim, jis vyksta asinchroniškai, kai OS įrašo duomenis.
- Jei jūsų failų sistema yra HFS+ (arba bet kuri kita, išskyrus APFS), galite paleisti "First Aid" sisteminiame diske iš "Disk Utility", kuri turėtų atlikti "Trim" operaciją detalėse(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Atsižvelkite į jų gaires
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Jei naudojate "Whonix" su "Qubes OS", apsvarstykite galimybę vadovautis kai kuriais jų vadovais:
Linux (ne Qubes).
Svečių operacinė sistema.
Atlikite nešiojamojo kompiuterio "trim" komandą naudodami fstrim --all. Ši programa yra "Debian" / "Ubuntu" programų paketo "util-linux" dalis, o "Fedora" programose ji turėtų būti įdiegta pagal nutylėjimą. Tada pereikite prie kito skyriaus.
Priimančioji OS.
Jei vadovausitės šiuo vadovu, paprastai neturėtumėte valyti pėdsakų priimančiojoje operacinėje sistemoje, nes viską atliekate iš virtualios mašinos.
Nepaisant to, galbūt norėsite išvalyti kai kuriuos žurnalus. Tiesiog naudokite šį patogų įrankį:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instrukcijos puslapyje, norėdami atsisiųsti eikite į leidinius, ši saugykla neseniai buvo pašalinta).
Išvalę įsitikinkite, kad turite įdiegtą fstrim įrankį (turėtų būti pagal nutylėjimą "Fedora" sistemoje), o "Debian" / "Ubuntu" sistemoje - util-linux paketo dalį. Tada tiesiog paleiskite fstrim --all pagrindinėje operacinėje sistemoje. Kaip paaiškinta anksčiau, to turėtų pakakti SSD diskams.
Apsvarstykite galimybę naudoti "Linux Kernel Guard" kaip papildomą priemonę
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Svečių operacinė sistema.
Grįžkite į ankstesnę "Virtualbox" (arba bet kurios kitos naudojamos virtualios mašinos programinės įrangos) momentinę nuotrauką ir atlikite "Windows" apkarpymo komandą naudodami "Optimize", kaip paaiškinta kito skyriaus pabaigoje.
Priimančioji OS.
Dabar, kai turėjote nemažai veiklos su savo virtualiosiomis mašinomis arba priimančiąja OS, turėtumėte akimirką paslėpti savo pėdsakus.
Dauguma šių veiksmų neturėtų būti atliekami su "Decoy OS", jei norima naudoti tikėtiną paneigimą. Taip yra todėl, kad norite, jog jūsų priešininkui liktų prieinamų protingos, bet ne slaptos veiklos viliojančių / tikėtinų pėdsakų. Jei viskas bus švaru, tuomet galite sukelti įtarimą.
Diagnostikos duomenys ir telemetrija.
Pirmiausia atsikratykime bet kokių diagnostinių duomenų, kurie vis dar gali būti:
(Jei naudojate "Windows 10 AME", šį veiksmą praleiskite).
- Po kiekvieno "Windows" įrenginių naudojimo eikite į "Settings" (Nustatymai), "Privacy" (Privatumas), "Diagnostic & Feedback" (Diagnostiniai duomenys ir atsiliepimai) ir spustelėkite "Delete" (Ištrinti).
Tada iš naujo atsitiktine tvarka nustatykime savo virtualiųjų mašinų MAC adresus ir savo priimančiosios OS "Bluetooth" adresą.
- Po kiekvieno "Windows" virtualios mašinos išjungimo pakeiskite jos MAC adresą kitam kartui eidami į "Virtualbox" > pasirinkite virtualią mašiną > "Settings" > "Network" > "Advanced" > "Refresh the MAC address".
- Po kiekvieno "Windows" priimančiosios OS naudojimo (jūsų VM apskritai neturėtų turėti "Bluetooth") eikite į "Device Manager", pasirinkite "Bluetooth", išjunkite įrenginį ir vėl įjunkite įrenginį (tai privers atsitiktine tvarka pakeisti "Bluetooth" adresą).
Įvykių žurnalai.
Windows įvykių žurnaluose saugoma daug įvairios informacijos, kurioje gali būti jūsų veiklos pėdsakų, pvz., prijungtų įrenginių (įskaitant, pavyzdžiui, "Veracrypt NTFS"
tomus294), tinklo jungčių, informacijos apie programų avarijas ir įvairias klaidas. Visada geriausia jas reguliariai išvalyti. Nedarykite to "Decoy" operacinėje sistemoje.
- Paleiskite, raskite "Event Viewer" ir paleiskite "Event Viewer":
- Eikite į "Windows" žurnalus.
- Dešiniuoju pelės mygtuku spustelėkite visus 5 žurnalus ir juos išvalykite.
"Veracrypt History".
Pagal numatytuosius nustatymus "Veracrypt" išsaugo neseniai prijungtų tomų ir failų istoriją. Turėtumėte įsitikinti, kad "Veracrypt" niekada neišsaugo istorijos. Vėlgi, nedarykite to "Decoy" OS, jei naudojate tikėtiną OS paneigimą. Mums reikia išsaugoti apgaulės tomelio prijungimo istoriją kaip tikėtino paneigimo dalį.
- Paleiskite "Veracrypt
- Įsitikinkite, kad pažymėtas žymimasis langelis "Never saves history" ("Niekada nesaugoti istorijos") (šis langelis neturėtų būti pažymėtas "Decoy OS").
Dabar turėtumėte išvalyti bet kurios naudojamos programos istoriją, įskaitant naršyklės istoriją, slapukus, išsaugotus slaptažodžius, sesijas ir formų istoriją.
Naršyklės istorija.
- (jei neįjungėte valymo išėjus)
- Eikite į Nustatymai
- Eikite į Skydai
- Eikite į Išvalyti naršymo duomenis
- Pasirinkite Išplėstinis
- Pasirinkite "Visą laiką"
- Pažymėkite visas parinktis
- Išvalyti duomenis
- Tor naršyklė
- Tiesiog uždarykite naršyklę ir viskas bus išvalyta
"Wi-Fi" istorija.
Dabar atėjo laikas išvalyti "Wi-Fi", prie kurio jungiatės, istoriją. Deja, "Windows" registre išsaugo buvusių tinklų sąrašą, net jei juos "pamiršote" "Wi-Fi" nustatymuose. Kiek žinau, kol kas jų neišvalo jokia pagalbinė programa (pavyzdžiui, BleachBit arba PrivaZer), todėl teks tai atlikti rankiniu būdu:
- Paleiskite "Regedit" naudodami šią instrukciją: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Į "Regedit" adresų juostą įveskite šį įrašą: Kompiuteris\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Ten dešinėje pamatysite daugybę aplankų. Kiekvienas iš šių aplankų yra "Raktas". Kiekviename iš šių raktų bus informacija apie jūsų šiuo metu žinomus "Wi-Fi" arba anksčiau naudotus tinklus. Juos galite tyrinėti po vieną ir pamatyti aprašymą dešinėje pusėje.
- Ištrinkite visus tuos raktus.
Kriauklių raktai.
Kaip paaiškinta anksčiau, "Shellbags" iš esmės yra kompiuteryje esančių tomų ir (arba) failų istorijos. Atminkite, kad Shellbags yra labai geri informacijos šaltiniai
kriminalistams287, todėl juos reikia išvalyti. Ypač jei kur nors prijungėte kokį nors "paslėptą tomą". Vėlgi, neturėtumėte to daryti "Decoy" OS.
- Shellbag Analyzer & Cleaner atsisiųskite iš https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Paleiskite jį
- Analizuokite
- Spustelėkite Clean ir pasirinkite:
- Ištrinti aplankai
- Tinklo / išorinių įrenginių aplankai
- Paieškos rezultatai
- Pasirinkite išplėstinį
- Pažymėkite visas, išskyrus dvi atsarginių kopijų kūrimo parinktis (nekurti atsarginių kopijų)
- Pasirinkite SSD valymas (jei turite SSD)
- Pasirinkite 1 perdavimas (visi nuliai)
- Clean (valyti)
Papildomi įrankiai Valymas.
Išvalius šiuos ankstesnius pėdsakus, taip pat turėtumėte naudoti trečiųjų šalių įrankius, kuriais galima išvalyti įvairius pėdsakus. Tarp jų yra ir ištrintų failų / aplankų pėdsakai.
Prieš tęsdami skaitykite
H priedą "Windows valymo įrankiai".
PrivaZer.
Toliau pateikiami "PrivaZer" veiksmai:
- Atsisiųskite ir įdiekite "PrivaZer" iš https://privazer.com/en/download.php [Archive.org]
- Įdiegę paleiskite "PrivaZer
- Nenaudokite jų vedlio
- Pasirinkite Išplėstinis vartotojas
- Pasirinkite Scan in Depth ir pasirinkite savo tikslą
- Pasirinkite Viską, ką norite nuskaityti, ir paspauskite Skenuoti
- Pasirinkite, ką norite išvalyti (praleiskite apvalkalo maišo dalį, nes tam naudojote kitą programą)
- Jei naudojate SSD diską, turėtumėte tiesiog praleisti laisvosios vietos valymo dalį, o vietoj to tiesiog naudoti "Windows Optimize" funkciją (žr. toliau), kurios turėtų būti daugiau nei pakankamai. Aš tai naudočiau tik HDD diske.
- (Jei pasirinkote Laisvos vietos valymą) Pasirinkite Clean Options ir įsitikinkite, kad jūsų saugyklos tipas gerai aptiktas (HDD vs SSD).
- (Jei pasirinkote Free Space cleaning (Laisvos vietos valymas)) per Clean Options (Būkite atsargūs su šia parinktimi, nes ji ištrins visą laisvą vietą pasirinktame skirsnyje, ypač jei naudojate deaktyvavimo operacinę sistemą. Netrinkite laisvos vietos ar ko nors kito antrajame skirsnyje, nes rizikuojate sunaikinti paslėptą OS)
- Jei turite SSD diską:
- Saugaus perrašymo skirtukas: Asmeniškai aš pasirinkčiau įprastą trynimą + apipjaustymą (paties apipjaustymo turėtų pakakti). Saugus trynimas su apipjaustymu (1 perėjimas) čia gali būti nereikalingas ir perteklinis, jei vis tiek ketinate perrašyti laisvą vietą.
- Laisvos vietos skirtukas: Asmeniškai, ir vėlgi "tik tam, kad būčiau tikras", pasirinkčiau Normalus valymas, kuris visą laisvą vietą užpildys duomenimis. Nelabai pasitikiu "Smart Cleanup", nes ji iš tikrųjų neužpildo visos laisvos SSD disko vietos duomenimis. Bet vėlgi manau, kad daugeliu atvejų tai tikriausiai nėra reikalinga ir perteklinė priemonė.
- Jei turite HDD diską:
- Saugus perrašymas skirtukas: Aš tiesiog pasirinkčiau Saugus trynimas (1 perdavimas).
- Laisva vieta: Laisva vieta: Aš tiesiog pasirinkčiau Smart Cleanup (išmanusis valymas), nes HDD diske nėra jokios priežasties perrašyti sektorių be duomenų.
- Pasirinkite Clean (valyti) ir pasirinkite savo skonį:
- Turbo Cleanup" atliks tik įprastą ištrynimą (HDD/SSD) ir nevalys laisvos vietos. Jis nėra saugus nei HDD, nei SSD diske.
- "Quick Cleanup" atliks saugų ištrynimą (HDD diske) ir įprastą ištrynimą + apipjaustymą (SSD diske), bet neišvalys laisvos vietos. Manau, kad tai pakankamai saugu SSD, bet ne HDD.
- Įprastinis valymas atliks saugų ištrynimą (HDD) ir įprastą ištrynimą + apipjaustymą (SSD), o tada išvalys visą laisvą vietą ("Smart Cleanup" HDD ir "Full Cleanup" SSD) ir turėtų būti saugus. Manau, kad ši parinktis yra geriausia HDD, bet visiškai perteklinė SSD.
- Spustelėkite Clean (valyti) ir palaukite, kol valymas bus baigtas. Gali šiek tiek užtrukti ir visą laisvą vietą užpildysite duomenimis.
BleachBit.
Čia pateikiami "BleachBit" veiksmai:
- Gaukite ir įdiekite naujausią BleachBit versiją čia: https: //www.bleachbit.org/download [Archive.org]
- Paleiskite BleachBit
- Išvalykite bent jau viską, kas yra šiuose skirsniuose:
- Gilus tikrinimas
- Windows Defender
- Windows Explorer (įskaitant Shellbags)
- Sistema
- Pasirinkite bet kokius kitus pėdsakus, kuriuos norite pašalinti iš jų sąrašo
- Vėlgi, kaip ir su ankstesne priemone, aš nevalyčiau laisvos vietos SSD diske, nes manau, kad pakanka "Windows" gimtosios "optimizavimo" priemonės (žr. Toliau) ir kad laisvos vietos užpildymas SSD diske, kuriame įjungtas apipjaustymas, yra visiškai perteklinis ir nereikalingas.
- Spustelėkite "Clean" (valyti) ir palaukite. Tai užtruks šiek tiek laiko ir užpildys visą laisvą vietą duomenimis tiek HDD, tiek SSD diskuose.
Priverstinis trynimas naudojant "Windows Optimize" (SSD diskams).
Naudodami šį "Windows 10" gimtąjį įrankį galite tiesiog sukelti "Trim" savo SSD diske, kurio turėtų daugiau nei pakakti, kad būtų saugiai išvalyti visi ištrinti failai, kurie kažkokiu būdu būtų išvengę "Trim" juos trinant.
Tiesiog atidarykite "Windows Explorer", dešiniuoju pelės klavišu spustelėkite sisteminį diską ir spustelėkite Savybės. Pasirinkite Įrankiai. Spustelėkite Optimizuoti ir tada dar kartą Optimizuoti. Baigta. Manau, kad, mano nuomone, to tikriausiai pakanka.
