Tails.
Tails är utmärkt för detta; du har inget att oroa dig för även om du använder en SSD-enhet. Stäng av den och allt är borta så snart minnet förfallit.
Whonix.
Observera att det är möjligt att köra Whonix i Live-läge och inte lämna några spår när du stänger av VM: erna, överväga att läsa deras dokumentation här
https://www.whonix.org/wiki/VM_Live_Mode [Archive.
org] och här
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [
Archive.org].
MacOS.
Gäst OS.
Återgå till en tidigare ögonblicksbild på Virtualbox (eller någon annan VM-programvara som du använder) och utför ett Trim-kommando på din Mac med Diskverktyget genom att utföra en första hjälpen på värdoperativsystemet igen enligt vad som förklaras i slutet av nästa avsnitt.
Värdoperativsystem.
Det mesta av informationen från det här avsnittet finns också i den här trevliga guiden
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Karantänsdatabas (används av Gatekeeper och XProtect).
MacOS (till och med Big Sur) har en Quarantine SQL-databas med alla filer som du någonsin har laddat ner från en webbläsare. Den här databasen finns i ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Du kan själv söka i den genom att köra följande kommando från terminalen: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Självklart är detta en guldgruva för kriminalteknik och du bör inaktivera detta:
- Kör följande kommando för att rensa databasen helt: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Kör följande kommando för att låsa filen och förhindra att ytterligare nedladdningshistorik skrivs dit: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Slutligen kan du också inaktivera Gatekeeper helt och hållet genom att utfärda följande kommando i terminal:
- sudo spctl --master-avaktivera
Se detta avsnitt i denna guide för ytterligare information
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Förutom denna praktiska databas har varje sparad fil också detaljerade HFS+/APFS-attribut för filsystemet som visar t.ex. när den hämtades, med vad och varifrån.
Du kan se dessa genom att öppna en terminal och skriva mdls filnamn och xattr -l filnamn på vilken nedladdad fil som helst från vilken webbläsare som helst.
Om du vill ta bort sådana attribut måste du göra det manuellt från terminalen:
- Kör xattr -d com.apple.metadata:kMDItemWhereFroms filnamn för att ta bort ursprunget
- Du kan också bara använda -dr för att göra det rekursivt på en hel mapp/disk
- Kör xattr -d com.apple.quarantine filnamn för att ta bort karantänreferensen
- Du kan också bara använda -dr för att göra det rekursivt på en hel mapp/disk
- Verifiera genom att köra xattr --l filnamn och det ska inte finnas någon utdata
(Observera att Apple har tagit bort det praktiska alternativet xattr -c som bara skulle ta bort alla attribut på en gång så du måste göra detta för varje attribut på varje fil)
Dessa attribut och poster kommer att fastna även om du rensar din webbläsarhistorik och detta är uppenbarligen dåligt för integriteten (eller hur?) Och jag känner inte till något bekvämt verktyg som kommer att hantera dem just nu.
Lyckligtvis finns det några mildringar för att undvika detta problem i första hand eftersom dessa attribut och poster ställs in av webbläsarna. Så jag testade olika webbläsare (på MacOS Catalina och Big Sur) och här är resultaten från och med datumet för den här guiden:
| Webbläsare | DB-post för karantän | Filattribut för karantän | Ursprung Filattribut |
|---|
| Safari (normal) | Safari (Normal) | Safari (Normal) Ja | Safari (normalt) Ja |
| Safari (privat fönster) | Nej | Nej Nej | Nej Nej |
| Firefox (normalt) | Firefox (Normal) Ja | Nej | Nej |
| Firefox (privat fönster) | Nej, nej | Nej Nej | Nej, nej |
| Chrome (normalt) | Nej | Ja, ja | Nej |
| Chrome (privat fönster) | Delvis (endast tidsstämpel) | Nej Nej | Nej Nej |
| Ungoogled-Chromium (normalt) | Nej Nej | Nej Nej | Nej Nej |
| Ungoogled-Chromium (privat fönster) | Nej Nej | Nej Nej | Nej Nej |
| Modig (normal) | Delvis (endast tidsstämpel) | Nej Nej | Nej Nej |
| Brave (privat fönster) | Delvis (endast tidsstämpel) | Nej Nej | Nej Nej |
| Brave (Tor-fönster) | Delvis (endast tidsstämpel) | Nej Nej | Nej Nej |
| Tor webbläsare | Nej, nej | Nej Nej | Nej Nej |
Som du själv kan se är den enklaste begränsningen att bara använda privata fönster. Dessa skriver inte dessa ursprungs- / karantänattribut och lagrar inte posterna i QuarantineEventsV2-databasen.
Att rensa QuarantineEventsV2 är enkelt som förklarats ovan. Att ta bort attributen kräver en del arbete.
Brave är den enda testade webbläsaren som inte lagrar dessa attribut som standard i normal drift.
Olika artefakter.
Dessutom sparar MacOS olika loggar över monterade enheter, anslutna enheter, kända nätverk, analyser, dokumentrevisioner ...
Se det här avsnittet i den här guiden för vägledning om var du hittar och hur du tar bort sådana artefakter: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Många av dessa kan raderas med hjälp av olika kommersiella verktyg från tredje part, men jag skulle personligen rekommendera att använda det kostnadsfria och välkända Onyx som du hittar här: https:
//www.titanium-software.fr/en/onyx.html [
Archive.org]. Tyvärr är det en sluten källkod men den är notariserad, signerad och har varit betrodd i många år.
Tvinga fram en trimoperation efter rengöring.
- Om ditt filsystem är APFS behöver du inte oroa dig för Trim, det sker asynkront när operativsystemet skriver data.
- Om ditt filsystem är HFS+ (eller något annat än APFS) kan du köra First Aid på din systemenhet från Diskverktyget, vilket bör utföra en trimningsoperation i detaljerna (https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Vänligen beakta deras riktlinjer
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Om du använder Whonix på Qubes OS, överväg att följa några av deras guider:
Linux (ej Qubes).
Gäst OS.
Återgå till en tidigare ögonblicksbild av Guest VM på Virtualbox (eller någon annan VM-programvara som du använder) och utför ett trimkommando på din bärbara dator med fstrim --all. Detta verktyg är en del av util-linux-paketet på Debian/Ubuntu och bör installeras som standard på Fedora. Gå sedan vidare till nästa avsnitt.
Värdens operativsystem.
Normalt sett bör du inte ha några spår att rensa i värdoperativsystemet eftersom du gör allt från en virtuell dator om du följer den här guiden.
Ändå kanske du vill rensa några loggar. Använd bara det här praktiska verktyget:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instruktioner på sidan, för att ladda ner gå till utgåvorna, det här förvaret togs nyligen bort)
När du har städat upp, se till att du har verktyget fstrim installerat (bör vara som standard på Fedora) och en del av util-linux-paketet på Debian/Ubuntu. Sedan är det bara att köra fstrim --all på värdoperativsystemet. Detta bör vara tillräckligt på SSD-enheter enligt vad som förklarats tidigare.
Överväg att använda Linux Kernel Guard som en extra åtgärd
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Gäst OS.
Återgå till en tidigare ögonblicksbild på Virtualbox (eller någon annan VM-programvara du använder) och utför ett trimkommando på din Windows med hjälp av Optimize som förklaras i slutet av nästa avsnitt
Värd OS.
Nu när du har haft en massa aktiviteter med dina virtuella datorer eller värdoperativsystem bör du ta en stund för att täcka dina spår.
De flesta av dessa steg bör inte genomföras på Decoy OS vid användning av plausibel förnekbarhet. Detta beror på att du vill hålla lockbete/plausibla spår av förnuftiga men inte hemliga aktiviteter tillgängliga för din motståndare. Om allt är rent kan du väcka misstankar.
Diagnostiska data och telemetri.
Låt oss först göra oss av med alla diagnostiska data som fortfarande kan finnas kvar:
(Hoppa över det här steget om du använder Windows 10 AME)
- Efter varje användning av dina Windows-enheter går du till Inställningar, Sekretess, Diagnostik & Feedback och klickar på Ta bort.
Låt oss sedan slumpa om MAC-adresserna för dina virtuella maskiner och Bluetooth-adressen för ditt värdoperativsystem.
- Efter varje avstängning av din Windows VM, ändra dess MAC-adress för nästa gång genom att gå in i Virtualbox > Välj VM > Inställningar > Nätverk > Avancerat > Uppdatera MAC-adressen.
- Efter varje användning av ditt värdoperativsystem Windows (din VM ska inte ha Bluetooth alls), gå in i Enhetshanteraren, välj Bluetooth, inaktivera enheten och aktivera enheten igen (detta kommer att tvinga fram en randomisering av Bluetooth-adressen).
Händelseloggar.
Windows händelseloggar kommer att hålla många olika bitar av information som kan innehålla spår av dina aktiviteter, till exempel de enheter som monterades (inklusive Veracrypt NTFS-volymer för
exempel294), dina nätverksanslutningar, appkraschinformation och olika fel. Det är alltid bäst att städa upp dem regelbundet. Gör inte detta på Decoy OS.
- Starta, sök efter Event Viewer och starta Event Viewer:
- Gå in i Windows-loggar.
- Välj och rensa alla 5 loggar med högerklick.
Veracrypt Historik.
Som standard sparar Veracrypt en historik över nyligen monterade volymer och filer. Du bör se till att Veracrypt aldrig sparar historik. Återigen, gör inte detta på Decoy OS om du använder trovärdig förnekbarhet för operativsystemet. Vi måste behålla historiken för montering av decoy-volymen som en del av den rimliga förnekelsen.
- Starta Veracrypt
- Se till att kryssrutan "Sparar aldrig historik" är markerad (detta bör inte markeras på Decoy OS)
Nu bör du rensa historiken i alla appar som du använde inklusive webbläsarhistorik, kakor, sparade lösenord, sessioner och formulärhistorik.
Webbläsarhistorik.
- Brave (om du inte aktiverade rengöring vid avslut)
- Gå in på Inställningar
- Gå in i Sköldar
- Gå in på Rensa webbläsardata
- Välj Avancerat
- Välj "All tid"
- Kontrollera alla alternativ
- Rensa data
- Tor webbläsare
- Stäng bara webbläsaren så är allt rensat
Wi-Fi-historik.
Nu är det dags att rensa historiken för det Wi-Fi du ansluter till. Tyvärr fortsätter Windows att lagra en lista över tidigare nätverk i registret även om du "glömde" dem i Wi-Fi-inställningarna. Så vitt jag vet finns det inga verktyg som rensar dem ännu (BleachBit eller PrivaZer till exempel) så du måste göra det på det manuella sättet:
- Starta Regedit med hjälp av denna handledning: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Inom Regedit, ange detta i adressfältet: Dator\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Där kommer du att se ett antal mappar till höger. Var och en av dessa mappar är en "nyckel". Var och en av dessa nycklar innehåller information om ditt nuvarande kända Wi-Fi eller tidigare nätverk som du använt. Du kan utforska dem en efter en och se beskrivningen på höger sida.
- Ta bort alla dessa nycklar.
Shellbags.
Som förklarats tidigare är Shellbags i princip historik över åtkomliga volymer / filer på din dator. Kom ihåg att shellbags är mycket bra informationskällor för
kriminalteknik287 och att du måste rengöra dem. Speciellt om du har monterat någon "dold volym" någonstans. Återigen, du bör inte göra detta på Decoy OS.
Rengöring av extra verktyg.
När du har rensat de tidigare spåren bör du också använda verktyg från tredje part som kan användas för att rensa olika spår. Dessa inkluderar spåren av de filer/mappar som du raderade.
Se
Bilaga H: Rengöringsverktyg för Windows innan du fortsätter.
PrivaZer.
Här är stegen för PrivaZer:
- Ladda ner och installera PrivaZer från https://privazer.com/en/download.php [Archive.org]
- Kör PrivaZer efter installationen
- Använd inte deras guide
- Välj avancerad användare
- Välj Scan in Depth och välj ditt mål
- Välj allt du vill skanna och tryck på Scan
- Välj vad du vill rengöra (hoppa över skalpåse-delen eftersom du använde det andra verktyget för det)
- Du bör bara hoppa över rengöringsdelen för ledigt utrymme om du använder en SSD och istället bara använda den inbyggda Windows Optimize-funktionen (se nedan) som borde vara mer än tillräckligt. Jag skulle bara använda detta på en HDD-enhet.
- (Om du valde Rengöring av ledigt utrymme) Välj Rengöringsalternativ och se till att din typ av lagring är väl upptäckt (HDD vs SSD).
- (Om du valde Rengöring av ledigt utrymme) Inom Rengöringsalternativ ( Var försiktig med det här alternativet eftersom det kommer att radera allt ledigt utrymme på den valda partitionen, särskilt om du kör decoy OS. Radera inte det lediga utrymmet eller något annat på den andra partitionen eftersom du riskerar att förstöra ditt dolda operativsystem)
- Om du har en SSD-enhet:
- Säker överskrivningsflik: Personligen skulle jag bara välja Normal radering + Trim (Trim i sig borde räcka). Secure Deletion with Trim (1 pass) kan vara överflödigt och overkill här om du tänker skriva över det lediga utrymmet ändå.
- Fliken Fritt utrymme: Personligen, och återigen "bara för att vara säker", skulle jag välja Normal Cleanup som kommer att fylla hela det lediga utrymmet med data. Jag litar inte riktigt på Smart Cleanup eftersom den faktiskt inte fyller hela det lediga utrymmet på SSD-enheten med data. Men återigen, jag tror att detta förmodligen inte behövs och är överdrivet i de flesta fall.
- Om du har en HDD-enhet:
- Säker överskrivningsflik: Jag skulle bara välja Säker radering (1 pass).
- Fritt utrymme: Jag skulle bara välja Smart Cleanup eftersom det inte finns någon anledning att skriva över sektorer utan data på en HDD-enhet.
- Välj Clean och välj din smak:
- Turbo Cleanup gör bara normal radering (på hårddisk/SSD) och rensar inte ledigt utrymme. Det är inte säkert på en hårddisk eller en SSD.
- Quick Cleanup gör säker radering (på hårddisk) och normal radering + trimning (på SSD) men rensar inte ledigt utrymme. Jag tror att detta är tillräckligt säkert för SSD men inte för HDD.
- Normal Cleanup gör säker radering (på hårddisken) och normal radering + trimning (på SSD) och rengör sedan hela det lediga utrymmet (Smart Cleanup på hårddisken och Full Cleanup på SSD) och bör vara säkert. Jag tycker att det här alternativet är bäst för hårddiskar men helt överdrivet för SSD.
- Klicka på Clean och vänta på att rengöringen ska bli klar. Det kan ta ett tag och kommer att fylla hela det lediga utrymmet med data.
BlekaBit.
Här är stegen för BleachBit:
- Hämta och installera den senaste versionen från BleachBit här https://www.bleachbit.org/download [Archive.org]
- Kör BleachBit
- Rengör åtminstone allt inom dessa avsnitt:
- Djup skanning
- Windows försvarare
- Windows Explorer (inklusive Shellbags)
- System
- Välj andra spår som du vill ta bort från deras lista
- Återigen, som med det tidigare verktyget, skulle jag inte rensa det lediga utrymmet på en SSD-enhet eftersom jag tycker att Windows inbyggda "optimera" -verktyg räcker (se nedan) och att fylla upp det lediga utrymmet på en trimaktiverad SSD är bara helt överkill och onödigt.
- Klicka på Rengör och vänta. Detta tar ett tag och kommer att fylla hela ditt lediga utrymme med data på både HDD- och SSD-enheter.
Tvinga fram en trimning med Windows Optimize (för SSD-enheter).
Med detta inbyggda Windows 10-verktyg kan du bara utlösa en Trim på din SSD som borde vara mer än tillräckligt för att säkert rengöra alla raderade filer som på något sätt skulle ha undgått Trim när du raderade dem.
Öppna bara Windows Explorer, högerklicka på din systemenhet och klicka på Egenskaper. Välj Verktyg. Klicka på Optimera och sedan på Optimera igen. Så är du klar. Jag tror att det är tillräckligt enligt min åsikt.
