Tails.
Tails bunun için harikadır; bir SSD sürücü kullansanız bile endişelenmenize gerek yoktur. Kapatın ve bellek bozulur bozulmaz hepsi yok olsun.
Whonix.
Whonix'i VM'leri kapattığınızda hiçbir iz bırakmadan Canlı modda çalıştırmanın mümkün olduğunu unutmayın, belgelerini buradan
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] ve buradan
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.
org] okuyabilirsiniz.
MacOS.
Konuk İşletim Sistemi.
Virtualbox'ta (veya kullandığınız başka bir VM yazılımında) önceki bir anlık görüntüye geri dönün ve bir sonraki bölümün sonunda açıklandığı gibi Ana İşletim Sisteminde tekrar bir ilk yardım gerçekleştirerek Disk Yardımcı Programını kullanarak Mac'inizde bir Trim komutu uygulayın.
Ana bilgisayar işletim sistemi.
Bu bölümdeki bilgilerin çoğu şu güzel kılavuzda da bulunabilir: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Karantina Veritabanı (Gatekeeper ve XProtect tarafından kullanılır).
MacOS (Big Sur'a kadar ve Big Sur dahil) bir Tarayıcıdan indirdiğiniz tüm dosyaların bir Karantina SQL Veritabanını tutar. Bu veritabanı ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 adresinde bulunur.
Terminalden aşağıdaki komutu çalıştırarak kendiniz sorgulayabilirsiniz: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Açıkçası, bu adli tıp için bir altın madeni ve bunu devre dışı bırakmalısınız:
- Veritabanını tamamen temizlemek için aşağıdaki komutu çalıştırın: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Dosyayı kilitlemek ve daha fazla indirme geçmişinin buraya yazılmasını önlemek için aşağıdaki komutu çalıştırın: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Son olarak, terminalde aşağıdaki komutu vererek Gatekeeper'ı tamamen devre dışı bırakabilirsiniz:
- sudo spctl --master-disable
Daha fazla bilgi için bu kılavuzun bu bölümüne bakın
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Bu kullanışlı veritabanına ek olarak, kaydedilen her dosya, örneğin ne zaman, ne ile ve nereden indirildiğini gösteren ayrıntılı dosya sistemi HFS+/APFS özniteliklerini de taşıyacaktır.
Bunları sadece bir terminal açarak ve herhangi bir tarayıcıdan indirilen herhangi bir dosyaya mdls dosya adı ve xattr -l dosya adı yazarak görüntüleyebilirsiniz.
Bu tür öznitelikleri kaldırmak için, bunu terminalden manuel olarak yapmanız gerekecektir:
- Kökeni kaldırmak için xattr -d com.apple.metadata:kMDItemWhereFroms dosya adını çalıştırın
- Bunu tüm bir klasör/disk üzerinde özyinelemeli olarak yapmak için -dr kullanabilirsiniz
- Karantina referansını kaldırmak için xattr -d com.apple.quarantine dosya adını çalıştırın
- Bunu tüm bir klasör/disk üzerinde özyinelemeli olarak yapmak için -dr kullanabilirsiniz
- xattr --l dosya adını çalıştırarak doğrulayın; herhangi bir çıktı olmamalıdır
(Apple'ın tüm öznitelikleri bir kerede kaldıran kullanışlı xattr -c seçeneğini kaldırdığını unutmayın, bu nedenle bunu her dosyadaki her öznitelik için yapmanız gerekecektir)
Bu nitelikler ve girişler Tarayıcı geçmişinizi temizleseniz bile kalacaktır ve bu gizlilik için açıkça kötüdür (değil mi?) Ve şu anda bunlarla başa çıkacak uygun bir araçtan haberdar değilim.
Neyse ki, bu nitelikler ve girişler tarayıcılar tarafından ayarlandığından, bu sorunu ilk etapta önlemek için bazı hafifletmeler var. Bu nedenle, çeşitli tarayıcıları test ettim (MacOS Catalina ve Big Sur'da) ve işte bu kılavuzun tarihi itibariyle sonuçlar:
| Tarayıcı | Karantina DB Girişi | Karantina Dosyası Özniteliği | Köken Dosya Özniteliği |
|---|
| Safari (Normal) | Evet | Evet | Evet |
| Safari (Özel Pencere) | Hayır | Hayır | Hayır |
| Firefox (Normal) | Evet | Evet | Evet |
| Firefox (Özel Pencere) | Hayır | Hayır | Hayır |
| Krom (Normal) | Evet | Evet | Evet |
| Chrome (Özel Pencere) | Kısmi (yalnızca zaman damgası) | Hayır | Hayır |
| Ungoogled-Chromium (Normal) | Hayır | Hayır | Hayır |
| Ungoogled-Chromium (Özel Pencere) | Hayır | Hayır | Hayır |
| Cesur (Normal) | Kısmi (yalnızca zaman damgası) | Hayır | Hayır |
| Cesur (Özel Pencere) | Kısmi (yalnızca zaman damgası) | Hayır | Hayır |
| Cesur (Tor Window) | Kısmi (yalnızca zaman damgası) | Hayır | Hayır |
| Tor Tarayıcı | Hayır | Hayır | Hayır |
Kendiniz de görebileceğiniz gibi, en kolay hafifletme sadece Özel Pencereleri kullanmaktır. Bunlar kaynak/karantina niteliklerini yazmaz ve girdileri QuarantineEventsV2 veritabanında saklamaz.
QuarantineEventsV2'yi temizlemek yukarıda açıklandığı gibi kolaydır. Öznitelikleri kaldırmak biraz çalışma gerektirir.
Brave, normal işlemlerde varsayılan olarak bu öznitelikleri depolamayan tek test edilmiş tarayıcıdır.
Çeşitli Eserler.
Ayrıca MacOS, takılı aygıtların, bağlı aygıtların, bilinen ağların, analizlerin, belge revizyonlarının çeşitli günlüklerini tutar...
Bu tür eserlerin nerede bulunacağı ve nasıl silineceği konusunda rehberlik için bu kılavuzun bu bölümüne bakın:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Bunların birçoğu çeşitli ticari üçüncü taraf araçlar kullanılarak silinebilir, ancak ben şahsen burada bulabileceğiniz ücretsiz ve iyi bilinen Onyx'i kullanmanızı tavsiye ederim:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Ne yazık ki, kapalı kaynaklıdır ancak noter onaylıdır, imzalıdır ve uzun yıllardır güvenilirdir.
Temizlikten sonra bir Trim işlemine zorlayın.
- Dosya sisteminiz APFS ise, Trim konusunda endişelenmenize gerek yoktur, işletim sistemi veri yazarken eşzamansız olarak gerçekleşir.
- Dosya sisteminiz HFS+ (ya da APFS dışında herhangi bir sistem) ise, Disk Yardımcı Programından Sistem Sürücünüzde İlk Yardım'ı çalıştırabilirsiniz, bu da ayrıntılarda bir Trim işlemi gerçekleştirecektir(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Lütfen yönergelerini dikkate alın
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Qubes OS üzerinde Whonix kullanıyorsanız, lütfen kılavuzlarından bazılarını takip etmeyi düşünün:
Linux (Qubes olmayan).
Konuk İşletim Sistemi.
Virtualbox'ta (veya kullandığınız başka bir VM yazılımında) Konuk VM'nin önceki bir anlık görüntüsüne geri dönün ve dizüstü bilgisayarınızda fstrim --all kullanarak bir kırpma komutu gerçekleştirin. Bu yardımcı program Debian/Ubuntu'da util-linux paketinin bir parçasıdır ve Fedora'da varsayılan olarak yüklü olmalıdır. Ardından bir sonraki bölüme geçin.
Ana Bilgisayar İşletim Sistemi.
Normalde, bu kılavuzu izlerseniz her şeyi bir VM'den yaptığınız için Ana Bilgisayar İşletim Sisteminde temizlemeniz gereken izler olmamalıdır.
Yine de, bazı günlükleri temizlemek isteyebilirsiniz. Sadece bu kullanışlı aracı kullanın:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (talimatlar sayfada, indirmek için sürümlere gidin, bu depo yakın zamanda kaldırıldı)
Temizledikten sonra, fstrim yardımcı programının yüklü olduğundan (Fedora'da varsayılan olarak yüklü olmalıdır) ve Debian/Ubuntu'da util-linux paketinin bir parçası olduğundan emin olun. Ardından Ana İşletim Sisteminde fstrim --all komutunu çalıştırın. Bu, daha önce açıklandığı gibi SSD sürücülerde yeterli olacaktır.
Ek bir önlem olarak Linux Kernel Guard kullanmayı düşünün
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Pencereler.
Konuk İşletim Sistemi.
Virtualbox'ta (veya kullandığınız başka bir VM yazılımında) önceki bir anlık görüntüye geri dönün ve bir sonraki bölümün sonunda açıklandığı gibi Optimize'ı kullanarak Windows'unuzda bir kırpma komutu gerçekleştirin
Ana Bilgisayar İşletim Sistemi.
Artık VM'leriniz veya Ana İşletim Sisteminizle bir dizi etkinlik gerçekleştirdiğinize göre, izlerinizi örtmek için bir dakikanızı ayırmalısınız.
Bu adımların çoğu, makul inkar edilebilirlik kullanılması durumunda Decoy OS üzerinde gerçekleştirilmemelidir. Bunun nedeni, mantıklı ancak gizli olmayan faaliyetlerin aldatıcı / makul izlerini düşmanınız için kullanılabilir tutmak istemenizdir. Eğer her şey temizse o zaman şüphe uyandırabilirsiniz.
Teşhis Verileri ve Telemetri.
Öncelikle hala orada olabilecek tüm tanılama verilerinden kurtulalım:
(Windows 10 AME kullanıyorsanız bu adımı atlayın)
- Windows cihazlarınızın her kullanımından sonra, Ayarlar, Gizlilik, Teşhis ve Geri Bildirim'e gidin ve Sil'e tıklayın.
Ardından Sanal Makinelerinizin MAC adreslerini ve Ana İşletim Sisteminizin Bluetooth Adresini yeniden rastgele hale getirelim.
- Windows sanal makinenizin her kapanışından sonra, Virtualbox > Sanal Makineyi Seçin > Ayarlar > Ağ > Gelişmiş > MAC adresini Yenile seçeneğine giderek bir sonraki sefer için MAC adresini değiştirin.
- Ana İşletim Sistemi Windows'unuzun her kullanımından sonra (VM'nizde Bluetooth olmamalıdır), Aygıt Yöneticisine gidin, Bluetooth'u seçin, Aygıtı Devre Dışı Bırakın ve Aygıtı Yeniden Etkinleştirin (bu, Bluetooth Adresinin rastgele seçilmesini zorlayacaktır).
Olay günlükleri.
Windows Olay günlükleri, bağlanan aygıtlar (örneğin Veracrypt NTFS
birimleri294 dahil), ağ bağlantılarınız, uygulama çökme bilgileri ve çeşitli hatalar gibi faaliyetlerinizin izlerini içerebilecek birçok farklı bilgiyi tutacaktır. Bunları düzenli olarak temizlemek her zaman en iyisidir. Bunu Decoy OS üzerinde yapmayın.
- Başlat, Olay Görüntüleyicisi'ni arayın ve Olay Görüntüleyicisi'ni başlatın:
- Windows günlüklerine gidin.
- Sağ tıklamayı kullanarak 5 günlüğün tümünü seçin ve temizleyin.
Veracrypt Geçmişi.
Varsayılan olarak, Veracrypt yakın zamanda bağlanan birimlerin ve dosyaların geçmişini kaydeder. Veracrypt'in Geçmişi asla kaydetmediğinden emin olmalısınız. Yine, işletim sistemi için makul inkar edilebilirlik kullanıyorsanız bunu Decoy OS üzerinde yapmayın. Tuzak Birimi takma geçmişini makul inkar edilebilirliğin bir parçası olarak tutmamız gerekir.
- Veracrypt'i Başlatın
- "Geçmişi asla kaydetme" onay kutusunun işaretli olduğundan emin olun (Decoy OS'de bu işaretli olmamalıdır)
Şimdi Tarayıcı geçmişi, Çerezler, Kayıtlı Parolalar, Oturumlar ve Form Geçmişi dahil olmak üzere kullandığınız tüm uygulamalardaki geçmişi temizlemelisiniz.
Tarayıcı Geçmişi.
- Brave (çıkışta temizlemeyi etkinleştirmediyseniz)
- Ayarlar'a gidin
- Shields'e gir
- Tarama Verilerini Temizle'ye gidin
- Gelişmiş'i seçin
- "Tüm Zamanlar "ı seçin
- Tüm seçenekleri kontrol edin
- Verileri Temizle
- Tor Tarayıcı
- Sadece Tarayıcıyı kapatın ve her şey temizlensin
Wi-Fi Geçmişi.
Şimdi sıra bağlandığınız Wi-Fi geçmişini temizlemeye geldi. Ne yazık ki Windows, Wi-Fi ayarlarında "unutmuş" olsanız bile kayıt defterinde geçmiş Ağların bir listesini saklamaya devam eder. Bildiğim kadarıyla henüz bunları temizleyen bir yardımcı program yok (BleachBit ya da PrivaZer gibi), bu yüzden bunu manuel olarak yapmanız gerekecek:
- Bu öğreticiyi kullanarak Regedit'i başlatın: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Regedit içinde, adres çubuğuna bunu girin: Bilgisayar\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Orada sağ tarafta bir sürü klasör göreceksiniz. Bu klasörlerin her biri bir "Anahtar "dır. Bu anahtarların her biri, mevcut bilinen Wi-Fi ağınız veya kullandığınız geçmiş ağlar hakkında bilgi içerecektir. Bunları tek tek inceleyebilir ve sağ taraftaki açıklamayı görebilirsiniz.
- Tüm bu anahtarları silin.
Kabuk Torbaları.
Daha önce açıklandığı gibi, Shellbag'ler temel olarak bilgisayarınızdaki erişilen birimlerin/dosyaların geçmişleridir. Kabuk torbalarının adli
tıp287 için çok iyi bilgi kaynakları olduğunu ve bunları temizlemeniz gerektiğini unutmayın. Özellikle de herhangi bir yere "gizli birim" bağladıysanız. Yine, bunu Decoy OS üzerinde yapmamalısınız.
Ekstra Araç Temizliği.
Önceki izleri temizledikten sonra, çeşitli izleri temizlemek için kullanılabilecek üçüncü taraf yardımcı programları da kullanmalısınız. Bunlar sildiğiniz dosyaların/klasörlerin izlerini de içerir.
Devam etmeden önce lütfen
Ek H: Windows Temizleme Araçları bölümüne bakın.
PrivaZer.
İşte PrivaZer için adımlar:
- PrivaZer'i https://pri vazer.com/en/download.php [Archive.org] adresinden indirin ve yükleyin
- Yüklemeden sonra PrivaZer'i çalıştırın
- Sihirbazlarını kullanmayın
- Gelişmiş Kullanıcı'yı seçin
- Derinlemesine Tara'yı seçin ve Hedefinizi seçin
- Taramak istediğiniz her şeyi seçin ve Tara düğmesine basın
- Temizlenmesini istediğiniz şeyi seçin (bunun için diğer yardımcı programı kullandığınızdan kabuk torbası kısmını atlayın)
- Bir SSD kullanıyorsanız boş alan temizleme kısmını atlamalı ve bunun yerine yerel Windows Optimize işlevini kullanmalısınız (aşağıya bakın), bu da fazlasıyla yeterli olacaktır. Bunu yalnızca bir HDD sürücüde kullanırdım.
- (Boş Alan temizlemeyi seçtiyseniz) Temizleme Seçenekleri'ni seçin ve Depolama türünüzün iyi algılandığından emin olun (HDD vs SSD).
- (Boş Alan temizlemeyi seçtiyseniz) Temiz Seçenekler içinde (Bu seçeneğe dikkat edin çünkü özellikle sahte işletim sistemi çalıştırıyorsanız, seçilen bölümdeki tüm boş alanı silecektir. Gizli işletim sisteminizi yok etme riskiniz olduğundan ikinci bölümdeki boş alanı veya başka bir şeyi silmeyin)
- Eğer bir SSD sürücünüz varsa:
- Güvenli Üzerine Yazma Sekmesi: Şahsen ben Normal Silme + Kırpmayı seçerdim (Kırpmanın kendisi yeterli olmalıdır). Kırpma ile Güvenli Silme (1 geçiş), boş alanın üzerine zaten yazmayı düşünüyorsanız burada gereksiz ve aşırı olabilir.
- Boş Alan Sekmesi: Şahsen ve yine "sadece emin olmak için", tüm boş alanı Veri ile dolduracak olan Normal Temizleme'yi seçerdim. SSD'deki tüm boş alanı Veri ile doldurmadığı için Akıllı Temizleme'ye pek güvenmiyorum. Ancak yine de bunun muhtemelen gerekli olmadığını ve çoğu durumda aşırıya kaçtığını düşünüyorum.
- Eğer bir HDD sürücünüz varsa:
- Güvenli Üzerine Yazma Sekmesi: Ben sadece Güvenli Silme (1 geçiş) seçeneğini seçerdim.
- Boş Alan: HDD sürücüde veri olmayan sektörlerin üzerine yazmak için bir neden olmadığından Akıllı Temizleme'yi seçerdim.
- Temizle'yi seçin ve istediğinizi seçin:
- Turbo Cleanup sadece normal silme işlemi yapar (HDD/SSD üzerinde) ve boş alanı temizlemez. HDD ya da SSD üzerinde güvenli değildir.
- Hızlı Temizleme güvenli silme (HDD'de) ve normal silme + kırpma (SSD'de) yapar ancak boş alanı temizlemez. Bunun SSD için yeterince güvenli olduğunu ancak HDD için güvenli olmadığını düşünüyorum.
- Normal Temizleme güvenli silme (HDD'de) ve normal silme + kırpma (SSD'de) yapacak ve ardından tüm boş alanı temizleyecektir (HDD'de Akıllı Temizleme ve SSD'de Tam Temizleme) ve güvenli olmalıdır. Bu seçeneğin HDD için en iyisi olduğunu ancak SSD için tamamen aşırıya kaçtığını düşünüyorum.
- Temizle'ye tıklayın ve temizliğin bitmesini bekleyin. Biraz zaman alabilir ve tüm boş alanınızı veri ile dolduracaktır.
BleachBit.
İşte BleachBit için adımlar:
- BleachBit'ten en son sürümü buradan edinin ve yükleyin https://www.bleachbit.org/download [Archive.org]
- BleachBit'i çalıştır
- En azından bu bölümlerdeki her şeyi temizleyin:
- Derin Tarama
- Windows Defender
- Windows Gezgini (Shellbags dahil)
- Sistem
- Listelerinden kaldırmak istediğiniz diğer izleri seçin
- Yine, önceki yardımcı programda olduğu gibi, bir SSD sürücüsündeki boş alanı temizlemem çünkü Windows'un yerel "optimize et" yardımcı programının yeterli olduğunu düşünüyorum (Aşağıya bakın) ve kırpma özellikli bir SSD'deki boş alanı doldurmanın tamamen aşırı ve gereksiz olduğunu düşünüyorum.
- Temizle'ye tıklayın ve bekleyin. Bu işlem biraz zaman alacak ve hem HDD hem de SSD sürücülerdeki tüm boş alanınızı veri ile dolduracaktır.
Windows Optimize ile Kırpmaya Zorlayın (SSD sürücüler için).
Bu Yerel Windows 10 yardımcı programı ile SSD'nizde bir Kırpma işlemini tetikleyebilirsiniz, bu da silinirken bir şekilde Kırpma işleminden kaçmış olabilecek tüm silinmiş dosyaları güvenli bir şekilde temizlemek için fazlasıyla yeterli olacaktır.
Sadece Windows Gezgini'ni açın, Sistem Sürücünüze Sağ Tıklayın ve Özellikler'e tıklayın. Araçlar'ı seçin. Optimize Et'e ve ardından tekrar Optimize Et'e tıklayın. İşlem tamamdır. Bence bu kadarı yeterli olacaktır.
