Astes.
Tails ir lieliski piemērots šim nolūkam; jums nav par ko uztraukties pat tad, ja izmantojat SSD disku. Izslēdziet to, un viss pazudīs, tiklīdz atmiņa sabojās.
Whonix.
Ievērojiet, ka Whonix ir iespējams palaist Live režīmā, neatstājot nekādas pēdas, kad jūs izslēdzat VM, apsveriet iespēju izlasīt to dokumentāciju šeit
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] un šeit
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Viesu operētājsistēma.
Atgriezieties pie iepriekšējā Virtualbox (vai jebkuras citas jūsu izmantotās VM programmatūras) momentuzņēmuma un izpildiet Trim komandu savā Mac datorā, izmantojot Disk Utility, vēlreiz izpildot pirmo palīdzību vieso OS, kā paskaidrots nākamās sadaļas beigās.
Uzņēmēja OS.
Lielāko daļu šīs sadaļas informācijas var atrast arī šajā jaukajā rokasgrāmatā
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karantīnas datu bāze (izmanto Gatekeeper un XProtect).
MacOS (ieskaitot Big Sur) saglabā karantīnas SQL datubāzi, kurā ir visi faili, kas jebkad lejupielādēti no pārlūkprogrammas. Šī datubāze atrodas ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Jūs varat veikt vaicājumu, terminālī izpildot šādu komandu: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Acīmredzot tas ir zelta vērtē kaldināšanai, un jums to vajadzētu atspējot:
- Lai pilnībā iztīrītu datu bāzi, izpildiet šādu komandu: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Izpildiet šādu komandu, lai bloķētu failu un novērstu turpmāku lejupielādes vēstures ierakstīšanu tajā: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Visbeidzot, varat arī pilnībā atspējot Gatekeeper, terminālī izdodot šādu komandu:
- sudo spctl --master-disable
Lai iegūtu plašāku informāciju, skatiet šo rokasgrāmatas sadaļu
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Papildus šai ērtajai datubāzei katram saglabātajam failam būs arī detalizēti failu sistēmas HFS+/APFS atribūti, kas parādīs, piemēram, kad, ar ko un no kurienes tas tika lejupielādēts.
Tos var apskatīt, vienkārši atverot termināli un ierakstot mdls filename un xattr -l filename par jebkuru lejupielādēto failu no jebkuras pārlūkprogrammas.
Lai noņemtu šādus atribūtus, tas jādara manuāli no termināļa:
- Lai noņemtu izcelsmi, palaidiet xattr -d com.apple.metadata:kMDItemWhereFroms filename.
- Varat arī vienkārši izmantot -dr, lai to izdarītu rekursīvi visā mapē/diskā.
- Palaist xattr -d com.apple.quarantine faila nosaukums, lai noņemtu atsauci uz karantīnu.
- Varat arī vienkārši izmantot -dr, lai to rekursīvi veiktu visā mapē/diskā.
- Pārbaudiet, izpildot xattr --l faila nosaukums, un izejas datiem nevajadzētu būt.
(Ņemiet vērā, ka Apple ir atcēlusi ērto xattr -c opciju, kas vienkārši noņemtu visus atribūtus uzreiz, tāpēc jums tas būs jādara katram atribūtam katrā failā).
Šie atribūti un ieraksti saglabāsies pat tad, ja dzēsīsiet pārlūka vēsturi, un tas, protams, ir slikti privātumam (vai ne?), un man nav zināms neviens ērts rīks, kas pašlaik varētu ar tiem tikt galā.
Par laimi, ir daži risinājumi, kā izvairīties no šīs problēmas, jo šos atribūtus un ierakstus nosaka pārlūkprogrammas. Tāpēc es pārbaudīju dažādas pārlūkprogrammas (MacOS Catalina un Big Sur), un šeit ir sniegti rezultāti uz šīs rokasgrāmatas datumu:
| Pārlūkprogramma | Karantīnas DB ieraksts | Karantīnas faila atribūts | Izcelsmes faila atribūts |
|---|
| Safari (Parasts) | Jā | Jā | Jā |
| Safari (privātais logs) | Nē | Nē | Nē |
| Firefox (Parastā) | Jā | Jā | Jā |
| Firefox (privātais logs) | Nē | Nē | Nē |
| Chrome (Parasts) | Jā | Jā | Jā |
| Chrome (Privātais logs) | Daļēji (tikai laika zīmogs) | Nē | Nē |
| Ungoogled-Chromium (Parasts) | Nē | Nē | Nē |
| Ungoogled-Chromium (privāts logs) | Nē | Nē | Nē |
| Drosmīgs (Parasts) | Daļējs (tikai laika zīmogs) | Nē | Nē |
| Drosmīgs (privāts logs) | Daļējs (tikai laika zīmogs) | Nē | Nē |
| Brave (Tor logs) | Daļējs (tikai laika zīmogs) | Nē | Nē |
| Tor pārlūks | Nē | Nē | Nē |
Kā redzat paši, visvieglāk ir vienkārši izmantot Private Windows. Tie neieraksta šos izcelsmes/karantīnas atribūtus un nesaglabā ierakstus QuarantineEventsV2 datubāzē.
QuarantineEventsV2 dzēšana ir vienkārša, kā paskaidrots iepriekš. Atribūtu noņemšana prasa zināmu darbu.
Brave ir vienīgais pārbaudītais pārlūks, kas parastās darbībās pēc noklusējuma šos atribūtus neuzglabā.
Dažādi artefakti.
Turklāt MacOS saglabā dažādus žurnālus par uzstādītajām ierīcēm, pievienotajām ierīcēm, zināmajiem tīkliem, analīzi, dokumentu pārskatīšanu...
Skatiet šo rokasgrāmatas sadaļu, kur atrast un kā dzēst šādus artefaktus:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org] .
Daudzus no tiem var dzēst, izmantojot dažādus komerciālus trešo pušu rīkus, bet es personīgi ieteiktu izmantot bezmaksas un labi zināmo Onyx, ko var atrast šeit:
https://www.titanium-software.fr/en/onyx.html [Archive.org] . Diemžēl tas ir slēgtā koda programma, taču tā ir notariāli apstiprināta, parakstīta un uzticama jau daudzus gadus.
Pēc tīrīšanas piespiediet veikt Trim operāciju.
- Ja jūsu failu sistēma ir APFS, jums nav jāuztraucas par Trim, jo tas notiek asinhroni, operētājsistēmai rakstot datus.
- Ja jūsu failu sistēma ir HFS+ (vai jebkura cita, kas nav APFS), varat palaist First Aid (Pirmā palīdzība) sistēmas diskā no Disk Utility (Disk Utility), kam detalizēti jāveic Trim operācija(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Lūdzu, ņemiet vērā to vadlīnijas
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Ja izmantojat Whonix operētājsistēmā Qubes OS, lūdzu, apsveriet iespēju sekot dažām no viņu vadlīnijām:
Linux (ne Qubes).
Viesu operētājsistēma.
Atgriezieties pie iepriekšējā viesu virtuālās mašīnas momentuzņēmuma Virtualbox (vai jebkurā citā jūsu izmantotajā virtuālās mašīnas programmatūrā) un izpildiet trim komandu savā klēpjdatorā, izmantojot fstrim --all. Šī utilīta ir daļa no util-linux pakotnes Debian/Ubuntu, un tai vajadzētu būt instalētai pēc noklusējuma Fedora sistēmā. Pēc tam pārejiet uz nākamo sadaļu.
Uzņēmēja OS.
Ja ievērojat šo rokasgrāmatu, parasti jums nevajadzētu tīrīt pēdas resursdatorā, jo jūs visu darāt no virtuālās mašīnas.
Tomēr, iespējams, vēlēsieties iztīrīt dažus žurnālus. Vienkārši izmantojiet šo ērto rīku:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instrukcijas lapā, lai lejupielādētu, dodieties uz laidieniem, šis repozitorijs nesen tika noņemts).
Pēc tīrīšanas pārliecinieties, vai ir instalēta fstrim utilīta (Fedora sistēmā tai jābūt pēc noklusējuma), bet Debian/Ubuntu sistēmās tā ir util-linux paketes daļa. Pēc tam vienkārši palaidiet fstrim --all galvenajā operētājsistēmā. Ar to vajadzētu pietikt SSD diskiem, kā paskaidrots iepriekš.
Apsveriet Linux Kernel Guard izmantošanu kā papildu pasākumu
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Viesu operētājsistēma.
Atgriezieties pie iepriekšējā Virtualbox (vai jebkuras citas jūsu izmantotās VM programmatūras) momentuzņēmuma un veiciet Windows apgriešanas komandu, izmantojot Optimize, kā paskaidrots nākamās sadaļas beigās.
Uzņēmēja OS.
Tagad, kad esat veicis virkni darbību ar VM vai host OS, jums ir nepieciešams brīdis, lai nosegtu savas pēdas.
Lielāko daļu no šīm darbībām nevajadzētu veikt uz mānekļa OS ticamas noliegšanas izmantošanas gadījumā. Tas ir tāpēc, ka jūs vēlaties, lai jūsu pretiniekam būtu pieejamas viltus/patiesas pēdas par saprātīgām, bet ne slepenām darbībām. Ja viss ir tīrs, tad jūs varētu radīt aizdomas.
Diagnostikas dati un telemetrija.
Vispirms atbrīvosimies no visiem diagnostikas datiem, kas tur vēl varētu būt:
(Ja izmantojat Windows 10 AME, šo soli izlaidiet).
- Pēc katras Windows ierīču lietošanas atveriet sadaļu Iestatījumi, Konfidencialitāte, Diagnostikas un atgriezeniskā saite un noklikšķiniet uz Dzēst.
Pēc tam no jauna izlozēsim jūsu virtuālo mašīnu MAC adreses un jūsu hostētājsistēmas Bluetooth adresi.
- Pēc katras Windows VM izslēgšanas nākamreiz nomainiet tās MAC adresi, dodoties uz Virtualbox > Izvēlieties VM > Iestatījumi > Tīkls > Izvērsti > Atjaunot MAC adresi.
- Pēc katras Windows resursdatora operētājsistēmas izmantošanas (jūsu VM vispār nedrīkst būt Bluetooth) ieejiet Ierīču pārvaldniekā, izvēlieties Bluetooth, atspējojiet ierīci un atkārtoti ieslēdziet ierīci (tas piespiedīs Bluetooth adresi izlozēt).
Notikumu žurnāli.
Windows notikumu žurnālos tiek saglabāta daudz un dažāda informācija, kas var saturēt jūsu darbību pēdas, piemēram, uzstādītās ierīces (tostarp, piemēram, Veracrypt NTFS
sējumi294), tīkla savienojumi, informācija par lietotņu kļūmēm un dažādas kļūdas. Vislabāk ir tās regulāri iztīrīt. Nedariet to ar Decoy OS.
- Palaidiet, sameklējiet notikumu pārlūku un palaidiet notikumu pārlūku:
- Iet uz Windows žurnāliem.
- Atlasiet un izdzēsiet visus 5 žurnālus, izmantojot labo klikšķi.
Veracrypt Vēsture.
Veracrypt pēc noklusējuma saglabā nesen uzstādīto sējumu un failu vēsturi. Jums jāpārliecinās, ka Veracrypt nekad nesaglabā vēsturi. Atkārtoti, nedariet to mānekļa operētājsistēmā, ja izmantojat ticamu noliegumu operētājsistēmai. Mums ir jāsaglabā viltus OS pievienošanas vēsture kā daļa no ticamas noliegšanas iespējas.
- Palaidiet Veracrypt
- Pārliecinieties, ka ir atzīmēta izvēles rūtiņa "Never saves history" ("Nekad nesaglabāt vēsturi") (šo izvēles rūtiņu nevajadzētu atzīmēt uz mānekļa OS).
Tagad jums vajadzētu iztīrīt vēsturi jebkurā lietotnē, ko izmantojāt, tostarp pārlūka vēsturi, sīkfailus, saglabātās paroles, sesijas un veidlapu vēsturi.
Pārlūka vēsture.
- Brave (gadījumā, ja neesat iespējojis tīrīšanu pēc izejas).
- Iet uz Iestatījumi
- Iet uz Shields
- Iet uz Notīrīt pārlūkošanas datus
- Izvēlieties Paplašinātie
- Izvēlieties "Visu laiku"
- Atzīmējiet visas opcijas
- Izdzēst datus
- Tor pārlūks
- Vienkārši aizveriet pārlūku, un viss ir iztīrīts.
Wi-Fi vēsture.
Tagad ir pienācis laiks iztīrīt Wi-Fi, ar kuru izveidojāt savienojumu, vēsturi. Diemžēl Windows saglabā iepriekšējo tīklu sarakstu reģistrā, pat ja esat tos "aizmirsis" Wi-Fi iestatījumos. Cik man zināms, pagaidām nav nevienas palīgprogrammas, kas tos attīrītu (piemēram, BleachBit vai PrivaZer), tāpēc jums tas būs jādara manuāli:
- Palaidiet Regedit, izmantojot šo pamācību: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- Izmantojot Regedit, ievadiet adreses joslā šādu tekstu: Dators\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Tur pa labi redzēsiet vairākas mapes. Katra no šīm mapēm ir "Atslēga". Katrā no šīm mapēm ir informācija par jūsu pašreiz zināmajiem Wi-Fi vai iepriekš izmantotajiem tīkliem. Varat izpētīt tās pa vienai un apskatīt aprakstu labajā pusē.
- Izdzēsiet visas šīs atslēgas.
Korpusa maisiņi.
Kā paskaidrots iepriekš, Shellbags būtībā ir jūsu datorā pieejamo sējumu/failu vēsture. Atcerieties, ka shellbags ir ļoti labs informācijas avots
kriminālistikas287 vajadzībām, un jums tie ir jāiztīra. Īpaši, ja esat uzstādījis kādu "slēpto sējumu". Atkal jāatgādina, ka jums nevajadzētu to darīt ar "mānekļa" operētājsistēmu.
- Lejupielādēt Shellbag Analyzer & Cleaner no https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Palaidiet to
- Analizējiet
- Noklikšķiniet uz Clean un izvēlieties:
- Izdzēstās mapes
- Mapes tīklā / ārējās ierīcēs
- Meklēšanas rezultāti
- Izvēlieties uzlabotas
- Atzīmējiet visas opcijas, izņemot divas rezerves kopiju veidošanas opcijas (neveidot rezerves kopijas).
- Izvēlieties SSD tīrīšana (ja jums ir SSD)
- Izvēlieties 1 pāreja (Visi nulle)
- Tīrīt
Papildu rīki Tīrīšana.
Pēc šo iepriekšējo pēdu tīrīšanas jāizmanto arī trešo pušu komunālie rīki, kurus var izmantot dažādu pēdu tīrīšanai. Tās ietver arī izdzēsto failu/mapju pēdas.
Pirms turpināšanas skatiet
H pielikumu: Windows tīrīšanas rīki.
PrivaZer.
Tālāk ir aprakstīti PrivaZer darbības soļi:
- Lejupielādējiet un instalējiet PrivaZer no https://privazer.com/en/download.php [Archive.org].
- Pēc instalēšanas palaidiet PrivaZer
- Neizmantojiet to vedni
- Izvēlieties Advanced User
- Izvēlieties Skenēt padziļināti un izvēlieties savu mērķi
- Izvēlieties visu, ko vēlaties skenēt, un nospiediet Skenēt
- Izvēlieties, ko vēlaties iztīrīt (izlaidiet daļu par apvalka maisu, jo tam izmantojāt citu utilītu).
- Ja izmantojat SSD disku, jums vajadzētu vienkārši izlaist daļu par brīvās vietas attīrīšanu un tā vietā izmantot Windows Optimize (skatīt tālāk), kam vajadzētu būt vairāk nekā pietiekami. Es to izmantotu tikai cietā diska diskā.
- (Ja esat izvēlējies Free Space cleaning) Izvēlieties Clean Options (Tīrības opcijas) un pārliecinieties, vai jūsu atmiņas veids ir labi atpazīts (HDD vs SSD).
- (Ja esat izvēlējies Free Space cleaning (brīvas vietas tīrīšana)) Clean Options (Tīrības opcijas) ietvaros (Esiet uzmanīgi ar šo opciju, jo tā izdzēsīs visu brīvo vietu izvēlētajā nodalījumā, jo īpaši, ja jūs izmantojat viltus operētājsistēmu. Neizdzēsiet brīvo vietu vai jebko citu otrajā nodalījumā, jo riskējat sabojāt savu slēpto OS).
- Ja jums ir SSD disks:
- Droša pārrakstīšana cilne: Personīgi es izvēlētos tikai parasto dzēšanu + apgriešanu (ar pašu apgriešanu vajadzētu pietikt). Droša dzēšana ar apgriešanu (1 gājiens) varētu būt lieka un pārmērīga, ja tik un tā plānojat pārrakstīt brīvo vietu.
- Brīvās vietas cilne: Personīgi un atkal "tikai pārliecības labad" es izvēlētos parasto tīrīšanu, kas aizpildīs visu brīvo vietu ar datiem. Es īsti neuzticos Smart Cleanup (Viedā tīrīšana), jo tā faktiski neaizpilda visu SSD diska brīvo vietu ar datiem. Bet atkal, manuprāt, tas, iespējams, nav nepieciešams un vairumā gadījumu ir pārmērīgi nepieciešams.
- Ja jums ir HDD disks:
- Droša pārrakstīšana cilne: Es vienkārši izvēlētos Secure Deletion (1 caurlaide).
- Brīva vieta: Es vienkārši izvēlētos Smart Cleanup (Viedā tīrīšana), jo nav iemesla pārrakstīt sektorus bez datiem cietā diska diskā.
- Izvēlieties Clean (Tīrīt) un izvēlieties savu aromātu:
- Turbo tīrīšana veiks tikai parasto dzēšanu (HDD/SSD) un neattīrīs brīvo vietu. Tas nav drošs ne HDD, ne SSD diskā.
- Quick Cleanup (Ātrā tīrīšana) veic drošu dzēšanu (HDD) un normālu dzēšanu + apgriešanu (SSD), bet neattīra brīvo vietu. Manuprāt, tas ir pietiekami drošs SSD, bet ne HDD.
- Normālā tīrīšana veic drošu dzēšanu (HDD) un normālu dzēšanu + apgriešanu (SSD) un pēc tam iztīra visu brīvo vietu (Smart Cleanup HDD un Full Cleanup SSD), un tai vajadzētu būt drošai. Manuprāt, šī opcija ir vislabākā HDD, bet pilnīgi pārspīlēta SSD.
- Noklikšķiniet uz Clean un pagaidiet, līdz tīrīšana tiks pabeigta. Tas var aizņemt kādu laiku un aizpildīs visu brīvo vietu ar datiem.
BleachBit.
Šeit ir aprakstīti BleachBit soļi:
- Iegūstiet un instalējiet jaunāko BleachBit versiju šeit: https: //www.bleachbit.org/download [Archive.org]
- Palaist BleachBit
- Notīriet vismaz visu, kas atrodas šajās sadaļās:
- Deep Scan
- Windows Defender
- Windows Explorer (tostarp Shellbags)
- Sistēma
- Atlasiet visas citas pēdas, kuras vēlaties noņemt no to saraksta.
- Atkal, tāpat kā ar iepriekšējo utilītu, es neiztīrītu SSD diska brīvo vietu, jo es domāju, ka ar Windows vietējo "optimizācijas" utilītu ir pietiekami (sk. Zemāk) un ka brīvās vietas aizpildīšana trim iespējotajā SSD diskā ir tikai pilnīgi pārmērīga un nevajadzīga.
- Noklikšķiniet uz Clean un gaidiet. Tas prasīs laiku un aizpildīs visu brīvo vietu ar datiem gan cietā diska, gan SSD diskā.
Piespiediet Trim ar Windows Optimize (SSD diskiem).
Izmantojot šo Windows 10 vietējo utilītu, varat vienkārši iedarbināt Trim (Apstrāde) SSD diskā, ar ko vajadzētu būt vairāk nekā pietiekami, lai droši notīrītu visus dzēstos failus, kuri kaut kā būtu izvairījušies no Trim (Apstrāde), tos dzēšot.
Vienkārši atveriet Windows Explorer, noklikšķiniet ar peles labo pogu uz sistēmas diska un noklikšķiniet uz Properties (Īpašības). Izvēlieties Rīki. Noklikšķiniet uz Optimizēt un pēc tam vēlreiz optimizēt. Darbs ir pabeigts. Manuprāt, manuprāt, ar to pietiek.
